ثغرة خطيرة فى تطبيق "LastPass" تكشف بيانات الاعتماد

ثغرة خطيرة فى تطبيق “LastPass” تكشف بيانات الاعتماد

أطلق التطبيق الخاص بإدارة كلمات المرور “”، تحديثًا الأسبوع الماضي لإصلاح تكشف التي تم إدخالها على موقع تمت زيارته مسبقًا.

وووفقا لما ذكره موقع “ذا فيرج” التقني، فإن التطبيق يعتبر واحدًا من التطبيقات الأكثر استخداما لإدارة كلمات المرور، حيث يستخدمه أكثر من 16 مليون مستخدم، بما في ذلك 58 ألف شركة.

وتم اكتشاف الثغرة في الشهر الماضي بواسطة تافيس أورماندي “Tavis Ormandy”، وهو باحث في (Project Zero)، فريق جوجل الأمني، وكالعادة يبلغ فريق “جوجل” الشركات المالكة للتطبيق عندما يعثر على ثغرة أمنية به، ويمنحها مدة 90 يومًا لإصدار إصلاح قبل الكشف العام له.

وقللت شركة “LogMeIn” المطورة لتطبيق LastPass من خطورة الثغرة، وحذرت المستخدمين في حال عدم تفعيل التحديث التلقائي لإضافات المتصفح الخاصة بالتطبيق إجرائه يدويًا، وتعتقد الشركة أن متصفحات Chrome و Opera فقط هى المتأثرة بالثغرة، ولكنها نشرت نفس التصحيح على جميع المتصفحات كإجراء وقائي.

ونشر تافيس أورماندي تفاصيل عن الثغرة الأمنية ​​الذي وجده في تغريدة على حسابه الشخصي على موقع تويتر، والذي تعد خطيرة وقابلة للاستغلال بسبب أنه يعتمد على تنفيذ تعليمات جافا سكريبت خبيثة وحدها.

ويمكن للمهاجمين جذب المستخدمين إلى صفحات ضارة واستغلال الثغرة الأمنية لاستخراج بيانات الاعتماد التي أدخلها المستخدمون على المواقع التي تمت زيارتها سابقًا.

ووفقًا للباحث الأمني، فإن هذا الأمر ليس صعبًا، إذ يمكن للمهاجم إخفاء ارتباط ضار بسهولة خلف عنوان (URL) للترجمة من جوجل “Google Translate”، وخداع المستخدمين من أجل زيارة هذا الرابط ثم استخراج بيانات الاعتماد من موقع تمت زيارته مسبقًا.

Send this to a friend