أصدر تطبيق إدارة كلمات المرور الشهير LastPass تحديثًا الأسبوع الماضي لإصلاح خطأ أمان يكشف عن بيانات الاعتماد التي تم إدخالها على موقع تمت زيارته مسبقًا.
ويُعد التطبيق واحدًا من أكثر حلول إدارة كلمات المرور شيوعًا مع أكثر من 16 مليون مستخدم، بما في ذلك 58 ألف شركة.
وتم اكتشاف الخطأ في الشهر الماضي بواسطة تافيس أورماندي Tavis Ormandy، وهو باحث في (Project Zero)، فريق جوجل الأمني.
وعادةً ما يبلغ فريق جوجل الشركات المعنية عندما يعثر على ثغرة أمنية، ويمنحها مدة 90 يومًا لإصدار إصلاح قبل الكشف العام عن الخلل.
وأصلح تطبيق LastPass المشكلة التي تم الإبلاغ عنها في الإصدار 4.33.0، والتي تم إصدارها في الأسبوع الماضي، في 12 سبتمبر، وقالت الشركة في إحدى التدوينات: إن هذا الخطأ يؤثر فقط على إضافات متصفحي كروم (Chrome)؛ وأوبرا (Opera).
موضوعات ذات صلة بما تقرأ الآن:
وقللت شركة LogMeIn المطورة لتطبيق LastPass من شدة الخلل، وتنصح المستخدمين – في حال عدم تفعيل آلية التحديث التلقائي لإضافات المتصفح الخاصة بتطبيق LastPass – بإجراء تحديث يدوي في أقرب وقت ممكن.
ونشر تافيس أورماندي تفاصيل عن الخلل الأمني الذي وجده في https://twitter.com/taviso/status/1173401754257375232 على حسابه الشخصي ضمن منصة تويتر، والذي يُعد خطيرًا وقابلًا للاستغلال بسبب أنه يعتمد على تنفيذ تعليمات جافا سكريبت خبيثة وحدها، دون أي تفاعل من قبل المستخدم.
ويمكن للمهاجمين جذب المستخدمين إلى صفحات ضارة واستغلال الثغرة الأمنية لاستخراج بيانات الاعتماد التي أدخلها المستخدمون على المواقع التي تمت زيارتها سابقًا.
ووفقًا للباحث الأمني، فإن هذا الأمر ليس صعبًا، إذ يمكن للمهاجم إخفاء ارتباط ضار بسهولة خلف عنوان (URL) للترجمة من جوجل (Google Translate)، وخداع المستخدمين من أجل زيارة الرابط، ثم استخراج بيانات الاعتماد من موقع تمت زيارته مسبقًا.
وقال فيرينك كون Ferenc Kun، مدير هندسة الأمن في LastPass: لاستغلال هذا الخطأ، يلزم اتخاذ سلسلة من الإجراءات من قبل مستخدمي التطبيق، بما في ذلك ملء كلمة مرور عبر أيقونة LastPass، ثم زيارة موقع مخترق أو ضار، وأخيرًا النقر على الصفحة عدة مرات.