Nhiều lỗ hổng nguy hiểm trong các ứng dụng quản lý mật khẩu

Chỉ vài ngày trước, đã có phát hiện về về hai lỗ hổng nghiêm trọng trong phiên bản di động của ứng dụng quản lý mật khẩu phổ biến nhất được công bố từ RoboForm.

Các nhà nghiên cứu Đại học California Berkeley vừa thực hiện việc kiểm tra các phần mềm lưu trữ mật khẩu và phát hiện rất nhiều lỗ hổng nguy hiểm. Các lỗ hổng nghiêm trọng này được phát hiện trong các ứng dụng quản lý mật khẩu phổ biến của các công ty RoboForm, LastPass, My1Login, PasswordBox và NeedMyPassword. Theo các nhà nghiên cứu, 4 trong 5 công ty trên được kiểm tra và cho thấy, tin tặc có thể tấn công tìm hiểu thông tin của người dùng cho các trang web tùy ý. “Chúng tôi tìm thấy lỗ hổng trong nhiều tính năng như tính năng sử dụng mật khẩu một lần, bookmark và chia sẻ mật khẩu. Các nguyên nhân chính của lỗ hổng cũng rất đa dạng: lỗ hổng trong mô hình bảo mật web, các lỗ hổng bảo mật điển hình như CSRF (yêu cầu qua trang web giả mạo) và cả lỗ hổng XSS (trang kịch bản chéo).

Việc ghi nhớ mật khẩu không hề đơn giản, đặc biệt là khi bạn đặt nhiều mật khẩu trên nhiều trang web khác nhau. Hiện nay phần mềm giúp ghi nhớ, quản lý mật khẩu đang được phát triển, điển hình trong số đó là LastPass. LastPass là một ứng dụng quản lý mật khẩu phổ biến và đang có sẵn trên điện thoại, máy tính bảng và máy tính để bàn cho tất cả các hệ điều hành và trình duyệt. Lựa chọn bookmarklet LastPass cho phép tích hợp Lasspass với các trình duyệt phổ biến nhất như Safari, chrome… Tuy nhiên, nghiên cứu cho thấy nó dễ bị tấn công nếu tội phạm mạng lừa người dùng chạy mã Javascipt trên trang web độc hại của chúng.

Hơn nữa, một lỗ hổng CSRF quan trọng được tìm thấy trong LastPass và RoboForm, trong khi đó phần mềm NeedMyPassword chứa cả CSRF cũng như các lỗ hổng XSS.

Các lỗ hổng XSS trong NeedMyPassword có thể cho phép kẻ tấn công đánh cắp hoàn toàn tài khoản của người sử dụng, trong khi các lỗ hổng CSRF trong LastPass và RoboForm có thể cho phép kẻ tấn công cập nhật, xóa, và thêm các thông tin tùy ý trong cơ sở dữ liệu của người dùng cũng như toàn bộ tổng thể mật khẩu được mã hóa, xóa bất kỳ mật khẩu trang web đã lưu trữ nào. LastPass đã tuyên bố rằng họ đã sửa chữa được lỗ hổng này từ tháng 9 năm ngoái, giải quyết được các lỗ hổng ảnh hưởng đến bookmarklets Java và chức năng tạo mật khẩu sử dụng một lần. Giám đốc thông tin Joe Siegrist nói “Nếu bạn lo lắng rằng bạn đang sử dụng bookmarklets trước tháng 9 năm 2013 trên các trang web không đáng tin cậy, bạn có thể xem xét thay đổi mật khẩu chính của mình và tạo ra mật khẩu mới, mặc dù chúng tôi không nghĩ nó là cần thiết. Vì ngay cả khi đã khai thác thác, kẻ tấn công sẽ vẫn không có chìa khóa để giải mã dữ liệu người dùng”.

Thông tin từ các nhà nghiên cứu, đây là một lời cảnh tỉnh cho các nhà phát triển ứng dụng quản lý mật khẩu trên website, để họ cố gắng phát triển một ứng dụng an toàn và đảm bảo hơn cho người dùng. Và việc này đòi hỏi phải có một hệ thống an ninh tiên tiến với phương pháp chuyên sâu hơn.