Wachtwoordbeheerder LastPass gevoelig voor phishing

De wachtwoordenapp LastPass is gevoelig voor phishing in de (desktop)browser. Meldingen kunnen gemakkelijk worden onderschept, om je gegevens te stelen.

Als gebruiker van de wachtwoordenapp LastPass kun je zomaar slachtoffer worden van een phishing-aanval. Aanvallers kunnen de stappen bij het inloggen zo goed namaken dat zelfs een oplettende gebruiker erin trapt – ook als je tweestapsverificatie hebt ingeschakeld. Pas vooral op als je een melding krijgt dat de sessie is verlopen (zoals in de afbeelding hieronder).


LastPass melding

LostPass: tool om inloggegevens LastPass te stelen

Beveiligingsonderzoeker Sean Cassidy heeft een tool gemaakt waarmee een aanvaller de inloggegevens van LastPass kan stelen. Het lukt daarmee om het e-mailadres, wachtwoord en de tweefactor-authenticatiecode van een gebruiker te achterhalen. De onderzoeker noemt zijn tool heel toepasselijk ‘LostPass’. Het probleem is ontstaan omdat LastPass berichten in de browser toont die door aanvallers kunnen worden nagemaakt. Die berichten zijn tot op de pixel nauwkeurig nagemaakt, zodat gebruikers het verschil niet zien. Omdat LastPass-gebruikers wel vaker meldingen in de browser krijgen dat hun sessie is verlopen, valt het niet op.

LastPass inloggen

Cassidy kwam op het idee voor de aanval door de meldingen die LastPass zelf gebruikt. De programmeerinterface (API) van LastPass is op afstand benaderbaar, hetgeen de deur opent voor een aanval. Een nietsvermoedende gebruiker krijgt eerst een nagemaakte melding te zien en klikt daarop. Er wordt vervolgens gecontroleerd of de gebruiker inderdaad LastPass geïnstalleerd heeft. Is dit het geval, dan wordt er cross-site request forgery (CSRF) toegepast om de gebruiker geforceerd uit te loggen. De gebruiker krijgt een melding te zien dat zijn sessie is verlopen en wordt naar een phishingsite gelokt om opnieuw in te loggen.

LastPass reageerde pas laat

Cassidy, in het dagelijks leven chief technology office van Praesidio, toonde zijn aanval op de hackersconferentie ShmooCon in Washington. Hij waarschuwde LastPass, maar de makers achter de opslagdienst voor wachtwoorden, meenden dat er geen probleem was. Ze vonden dat er sprake was van een phishingaanval, waardoor het probleem bij de gebruiker ligt en niet bij LastPass. Cassidy denkt er anders over: als meldingen door aanvallers kunnen worden afgevangen kan een gebruiker niet meer zien welke melding echt en namaak is. Hij heeft de code van zijn tool nu openbaar gemaakt, zodat andere beveiligingsonderzoekers ook de ernst kunnen inzien.

LastPass reageerde uiteindelijk toch: ze hebben het verplicht gesteld om via e-mail te bevestigen als er een login van een nieuw IP-adres plaatsvindt.

Reacties: 1 reacties

Reacties zijn gesloten voor dit artikel.