أصدر تطبيق إدارة كلمات المرور الشهير LastPass، من أكثر حلول إدارة كلمات المرور شيوعًا مع أكثر من 16 مليون مستخدم بما في ذلك 58 ألف شركة، تحديثًا الأسبوع الماضي لإصلاح خطأ أمان يكشف عن بيانات الاعتماد التي تم إدخالها على موقع تمت زيارته مسبقًا.
وتم اكتشاف الخطأ في الشهر الماضي بواسطة تافيس أورماندي Tavis Ormandy، وهو باحث في فريق جوجل الأمني (Project Zero). وعادةً ما يبلغ فريق جوجل الشركات المعنية عندما يعثر على ثغرة أمنية ويمنحها مدة 90 يومًا لإصدار إصلاح قبل الكشف العام عن الخلل.
وأصلح تطبيق LastPass المشكلة التي تم الإبلاغ عنها في الإصدار 4.33.0. وقالت الشركة في إحدى التدوينات : إن هذا الخطأ يؤثر فقط على إضافات متصفحي كروم (Chrome) وأوبرا (Opera). وقللت شركة LogMeIn المطورة لتطبيق LastPass من شدة الخلل. وتنصح الشركة المستخدمين بإجراء تحديث يدوي في أقرب وقت ممكن في حال عدم تفعيل آلية التحديث التلقائي لإضافات المتصفح الخاصة بتطبيق LastPass.
ويمكن للمهاجمين جذب المستخدمين إلى صفحات ضارة واستغلال الثغرة الأمنية لاستخراج بيانات الاعتماد التي أدخلها المستخدمون على المواقع التي تمت زيارتها سابقًا. ويُعد الخلل الأمني خطيرًا وقابلًا للاستغلال بسبب أنه يعتمد على تنفيذ تعليمات جافا سكريبت خبيثة وحدها دون أي تفاعل من قبل المستخدم.
ووفقًا للباحث الأمني تافيس أورماندي الذي نشر تفاصيل عن الخلل الأمني الذي وجده في تغريدة على حسابه الشخصي ضمن منصة تويتر، فإن هذا الأمر ليس صعبًا إذ يمكن للمهاجم إخفاء ارتباط ضار بسهولة خلف عنوان (URL) للترجمة من جوجل (Google Translate) وخداع المستخدمين من أجل زيارة الرابط ثم استخراج بيانات الاعتماد من موقع تمت زيارته مسبقًا.
وقال فيرينك كون Ferenc Kun، مدير هندسة الأمن في LastPass : لاستغلال هذا الخطأ، يلزم اتخاذ سلسلة من الإجراءات من قبل مستخدمي التطبيق بما في ذلك ملء كلمة مرور عبر أيقونة LastPass ثم زيارة موقع مخترق أو ضار وأخيرًا النقر على الصفحة عدة مرات.
