2170118

Passwort-Safe unsicher

Hacker können LastPass-Zugangsdaten stehlen

18.01.2016 | 13:26 Uhr |

Im Passwort-Manager LastPass steckte eine ernste Sicherheitslücke, über die sich das Masterpasswort und weitere Zugangsdaten abgreifen lassen. Danach kann der Angreifer den Passworttresor des Benutzers herunterladen.

Die Sicherheitsseite Motherboard warnt vor einer ernsten Sicherheitslücke in dem Passwort-Manager Lastpass. Die Lücke hat der Sicherheitsforscher Sean Cassidy auf der Hackerkonferenz ShmooCon vorgeführt.

Die Lücke funktioniert folgendermaßen: Der Angreifer lockt einen Lastpass-Nutzer auf eine Webseite. Dort ist Javascript-Code integriert, der ein Fenster öffnet, in dem dem Besucher mitgeteilt wird, dass er bei Lastpass ausgeloggt sei. Er werde deshalb aufgefordert, sein Last-Pass-Master-Passwort samt Mailadresse sowie - besonders fies - seine Daten für die Zwei-Faktor-Authentifizierung (falls diese genutzt wird) in einem Login-Screen wieder einzugeben. Die Zwei-Faktor-Authentifizierung soll ja gerade nach einem Passwort-Diebstahl den Hackern den Zugriff auf die Daten unmöglich machen. Die präparierte Webseite, auf die der Anwender weitergeleitet wird, zeigt dazu den gefälschten Loginscreen an. Diese Meldung ist exakt der echten Lastpass-Anmeldeseite nachempfunden.

Danach haben die Angreifer über die Lastpass-API Zugriff auf alle in Lastpass gespeicherten Passwörter. Der Angreifer kann also alle diese in Lastpass hinterlegten Daten auf seinen Rechner herunterladen und mit dem Passwort des Benutzers entschlüsseln.

Die technische Basis für diesen Hackerangriff bildet Cross-site request forgery.

Tipp: Wir stellen diese Angriffstechnik und ihre Schwester XSS hier ausführlich vor.

Das besondere Problem von Lastpass besteht darin, dass hier die gespeicherten Passwörter auf dem Server von Lastpass liegen und von dort verschlüsselt heruntergeladen werden können. Der Angreifer benötigt also keinen Zugriff auf den Rechner des Lastpass-Nutzers, um dessen Passwörter abgreifen zu können.

Der Code für die Zwei-Faktor-Authentifizierung kann ebenfalls abgegriffen werden.
Vergrößern Der Code für die Zwei-Faktor-Authentifizierung kann ebenfalls abgegriffen werden.
© Sean Cassidy

Lastpass hat die von Cassidy gemeldete Sicherheitslücke gegenüber Motherboard bestätigt. Cassidy habe die Lücke im November an Lastpass gemeldet, woraufhin das Unternehmen begonnen habe, die Lücke zu schließen. Lastpass stufte den Angriff allerdings als Phishing-Angriff ein und nicht als grundsätzliche Schwachstelle in LastPass. Das Unternehmen veröffentlichte dann ein Update, das Anwender davon abhalten soll, durch die von Cassidy präparierte Webseite ausgeloggt zu werden und zudem eine Warnung ausgibt, wenn das Masterpasswort in eine nicht zu Lastpass gehörende Webseite eingegeben wird.

Cassidy halt das aber nicht für ausreichend, weil eine gefakte Webseite diese Alarmmeldung entdecken und im Browser unterdrücken könnte.



0 Kommentare zu diesem Artikel
2170118