В популярных менеджерах паролей нашли уязвимости
Исследователи из Калифорнийского университета в Беркли (США) заявили об обнаружении ряда критических уязвимостей в популярных онлайн-менеджерах паролей. "Дыры", в частности, были найдены в LastPass, PasswordBox, RoboForm, My1login и NeedMyPassword. Самые серьезные из ошибок позволяли злоумышленникам дистанционно завладеть конфиденциальной информацией, не оставляя каких-либо следов взлома.
Подробный отчет, посвященный безопасности хранения паролей в онлайн-менеджерах, будет предоставлен в следующем месяце. Отмечается, что LastPass и разработчики трех из четырех вышеупомянутых сервисов уже устранили уязвимости. Тем не менее, сам факт их наличия может представлять серьезную угрозу в будущем, сказали ученые.
Самая опасная "дыра" была найдена в LastPass — менеджере, которым пользовалось свыше миллиона человек (по состоянию на 2011 год). Ошибка в букмарклете (JavaScript-коде, который сохраняется в виде браузерной закладки) позволяла мошенникам незаметно украсть логины и пароли, как только пользователь нажмет на закладку. Благодаря еще одной лазейке в LastPass хакеры (в случае, если им известна электронная почта жертвы) могли извлечь зашифрованную базу паролей и другие данные.
Другие менеджеры тоже оказались не без изъянов. Например, критические ошибки, допущенные создателями PasswordBox, могли привести к краже миллионов реальных имен, логинов и URL-адресов, где пользователи должны вводить пароли. Подобные "дыры" были найдены в RoboForm, My1login и NeedMyPassword.
Важно, что ученые изучали на предмет уязвимостей только те менеджеры, которые держат информацию в "облаке" и синхронизируют ее между разными браузерами и устройствами. Приложения, хранящие базу паролей локально, ими не рассматривались.