密码管理器也不安全！LastPass曝出高危漏洞，黑客可轻松偷走你的密码

LYA 看雪学院 2021-03-13

图片来源：Bleeping computer

网络账户越来越多，不同的账户密码也随之不断增多。

为了安全，许多用户开始使用密码管理器。

你只需要需要记住一个主密码来就可以解锁网上账户的所有其他密码，

然而，密码管理器也并不是那么安全。

LastPass是什么？

LastPass作为一款流行的在线密码管理器，同时还可以作为一个浏览器扩展，功能强大。支持PC端和手机端的各种主流浏览器，例如IE、Chrome、 FireFox、 Opera、Safari等，其优势在于跨浏览器平台数据同步，使用范围极广。

当你登录任何一个网站，它就会提醒你保存登录信息，并在云端自动同步，之后再次访问这个网站就会帮你填写登录凭证。

这给密码众多又记不住的用户带来了许多便利。

LastPass爆出安全风险

这一次的漏洞，恰恰源自在LastPass在浏览器扩展中的安全隐患。黑客可以利用这个漏洞获取用户上次登录网站时保存的登录凭证。

这次攻击类型是点击劫持，这也就意味着你浏览的网页并不是真实的网页，而是黑客所精心设计的另一个透明网页，往往就是恶意网页。

这种攻击利用了HTML中iframe标签的透明属性。当你通过网页提示将输入密码的弹出框放置到iframe中时，就会自动跳过验证链中的一个步骤，从而给了黑客趁机而入的机会，以盗窃你最后一次输入的密码。

虽然这个漏洞可能不适用于所有的网站，但其严重性仍是不容忽视的。

此外，研究人员发现LastPass还存在三个可能被攻击者利用的漏洞，如下所示：

1.由于缺乏对可信事件的检查而产生任意快捷键漏洞事件的可能性。

2.允许禁用多个安全检查。

3.允许绕过几个与安全相关的验证。

解决方案

LastPass密码管理器的制造商承认了这个漏洞，并在9月13日宣布他们已经解决了这个漏洞。

虽然由于该漏洞导致的任何潜在风险仅限于特定浏览器（Chrome和Opera），但作为预防措施，LastPass官方已将补丁自动更新到所有浏览器，但仍需要检查是否是最新版本，因为部分用户的浏览器禁用扩展自动更新。

密码管理器也并不是绝对安全，只是提供一种相对风险较低的密码存储方式。对LastPass用户的建议包括以下几点：

*本文由看雪编辑 LYA 编译自 Bleeping computer，转载请注明来源及作者。