Klarheit brachte Hackerkonferenz ShmooCon
Auf der Hackerkonferenz ShmooCon in Washington demonstrierte der Sicherheitsforscher Sean Cassidy, dass Nutzer sich damit so täuschen lassen, dass sie nicht nur das Masterpasswort für LastPass, sondern auch den Code für die Authentifizierung preisgeben.
Laut Motherboard muss der Angreifer ein Opfer lediglich auf eine speziell gestaltete Website locken, die per JavaScript eine Benachrichtigung erzeugt. Über die Benachrichtigung wird dem Nutzer mitgeteilt, dass er nicht mehr bei LastPass angemeldet ist. Die Meldung entspricht der Originalnachricht von LastPass leitet diese aber zu einer gefälschten Anmeldeseite um. Gibt er dort sein Masterpasswort und den möglicherweise erforderlichen Code für die Zweischrittauthentifizierung an, werden die Informationen an einen Server des Angreifers übertragen. Der habe anschließend Zugriff auf die LastPass-API und könne darüber den vollständigen Passworttresor eines Nutzers herunterladen.
Patch nur unzureichend
Als Grund für die aufgetretenen Probleme hat der Sicherheitsforscher eine Cross-Site-Request-Forgery-Lücke erkannt, die beliebigen Webseiten erlaubt, dem Passwortmanager eine Logout-Benachrichtigung zu senden. Nach Meldung der Sicherheitslücke wurde vom Hersteller ein Patch bereitgestellt, das Cassidy jedoch in einem Blogeintrag als unzureichend bewertet. Er befürchtet, dass die Warnung des Herstellers wie auch die Logout-Meldungen, die über einen Browser angezeigt werden, vom Angreifer erkannt und unterdrückt werden.