Google phát hiện lỗ hổng mới trong LastPass

LastPass là một trong những tiện ích quản lý mật khẩu hàng đầu hiện nay. LastPass áp dụng công nghệ mã hóa tiên tiến và được cho là rất an toàn. Tuy nhiên, mới đây nhà nghiên cứu Tavis Ormandy của Google Project Zero đã phát hiện thêm một lỗ hổng nghiêm trọng khác trong tiện ích mở rộng trình duyệt LastPass. Các nhà phát triển phần mềm mật khẩu đã xác định được lỗ hổng và đang thực hiện bản vá.

Vì hiện nay lỗ hổng chưa được xử lý nên chưa có nhiều thông tin được công bố ngoài những thông tin từ Tavis Ormandy và LastPass. Nhà nghiên cứu nói rằng lỗ hổng bảo mật ảnh hưởng tới phiên bản mới nhất của ứng dụng LastPass trên tất cả các trình duyệt web. Tin tặc có thể khai thác lỗ hổng này để đánh cắp mật khẩu người dùng và nếu thành phần nhị phân của LastPass cho phép thì có thể thực thi những đoạn mã bất kỳ.

Đại diện LastPass cho biết: “Tấn công này rất độc đáo và có tính phức tạp cao”. LastPass không muốn tiết lộ bất kỳ thông tin cụ thể nào về lỗ hổng hoặc việc sửa chữa của mình vì e ngại có thể bị lộ thông tin khiến cho tin tặc có thể thực hiện những hoạt động bất chính.

Do những lỗ hổng này thường được khai thác bằng cách thu hút người dùng mục tiêu truy nhập vào một trang web giả mạo nên LastPass khuyến cáo khách hàng tự bảo vệ chính mình khỏi những cuộc tấn công tiềm ẩn bằng việc sử dụng LastPass Vault để truy nhập các trang web nhằm đảm bảo rằng trang mà họ truy nhập là hợp pháp. Đồng thời, người dùng nên kích hoạt xác thực hai yếu tố khi có thể và đề phòng lừa đảo.

Trước đó vài tuần, Ormandy đã xác định một số lỗ hổng LastPass nghiêm trọng có thể bị khai thác để đánh cắp mật khẩu người dùng hoặc thực thi các đoạn mã bất kỳ. LastPass đã phát hành bản vá những lỗ hổng này trong vài ngày sau khi phát hiện. Các bản sửa lỗi được thực hiện tự động và người dùng không cần phải thực hiện bất kỳ hành động nào.