مدير كلمات المرور LastPass ، أصدر تحديثًا الأسبوع الماضي لإصلاح خطأ أمني يكشف ذلك عن بيانات الاعتماد التي تم إدخالها على موقع تمت زيارته مسبقًا. تم اكتشاف الخطأ الشهر الماضي من قبل باحث أمني.
قام LastPass بحل المشكلة التي تم الإبلاغ عنها في الإصدار 4.33.0 في 12 سبتمبر. على الرغم من أن LastPass يشير إلى أنه يجب تطبيق التحديث تلقائيًا ، فمن المستحسن للمستخدمين التأكد من أنهم يستخدمون أحدث إصدار من ملحق خدمة المتصفح ، خاصةً إذا كانوا يستخدمون متصفحًا يسمح بتعطيل التحديثات.
في منشور مدونة ، قال فيرينك كون من فريق الأمن LastPass:
"قام فريقنا مؤخرًا بالتحقيق في الخلل وإصلاحه الذي أثر على بعض امتدادات LastPass. كشف باحث أمني في تقريره عن مجموعة محدودة من الظروف في ملحقات متصفح معينة قد تسمح للمهاجم بإنشاء سيناريو انحراف النقرات.
"لاستغلال هذا الخطأ ، يجب على مستخدم LastPass تنفيذ عدد من الإجراءات ، بما في ذلك ملء كلمة مرور بأيقونة LastPass ، ثم زيارة موقع مخترق أو ضار ، وفي النهاية الاضطرار إلى النقر فوق الصفحة عدة مرات.
يمكن أن يؤدي هذا العمل الفذ إلى الكشف عن بيانات اعتماد الموقع الأخيرة التي يكملها LastPass. عملنا بسرعة على تطوير تصحيح وتحققنا من أن الحل كامل مع Tavis.
يوضح تقرير الخطأ الخاص بالباحث الأمني الخطوات المطلوبة لإعادة إنتاج الخطأ. نظرًا لأن الخطأ يعتمد على تشغيل شفرة JavaScript ضارة فقط ، دون أي تفاعل آخر من المستخدم ، فإن الخطأ يعتبر خطيرًا ويمكن استغلاله.
يمكن للقراصنة جذب المستخدمين إلى الصفحات الخبيثة واستغلال هذه الثغرة الأمنية لاستخراج بيانات الاعتماد التي أدخلها المستخدمون على المواقع التي تمت زيارتها سابقًا.
نظرًا لأنه ليس صعبًا كما يبدو ، نظرًا لأن المهاجم يمكنه بسهولة إخفاء رابط ضار خلف عنوان URL ، مما يجعل المستخدمين يرون الرابط ويستخرجون بيانات الاعتماد من عنوان URL لموقع تمت زيارته مسبقًا.
وبالإضافة إلى ذلك، على الرغم من أن أي تعرض محتمل بسبب الخطأ يقتصر على متصفحات معينة (Chrome و Opera) ، قمنا بتنفيذها كإجراء احترازي في جميع المتصفحات
بالرغم من هذا الخطأ ، يعد استخدام مدير كلمات المرور طريقة رائعة لحماية الأمان عبر الإنترنت.
يسلط وجود الخطأ الضوء على حقيقة أن مديري كلمات المرور ، مثل أي خدمة عبر الإنترنت ، لا يزالون عرضة لمشاكل الأمان. من خلال تسهيل إنشاء وتخزين كلمة مرور فريدة لكل حساب ، يوفر مديرو كلمات المرور بديلاً مهمًا لإعادة استخدام كلمات المرور.
يسهّل مديرو كلمات المرور أيضًا استخدام كلمات مرور قوية لأن المستخدمين لا يحتاجون إلى تذكرها.
حتى إذا أدى اختراق موقع الويب إلى تسريب كلمات مرور النص العادي ، فإن مدير كلمات المرور يتأكد من اختراق حساب واحد فقط (في حال كانت كلمات مرور المستخدمين خاصة بكل موقع يمتلكون فيه حسابًا).
الجانب السلبي لمديري كلمات المرور هو أنهم إذا فشلوا ، فقد تكون النتائج وخيمة. ليس من غير المألوف أن يستخدم بعض الأشخاص مديري كلمات المرور لتخزين العديد من كلمات المرور ، بعضها للحسابات المصرفية ، والبعض الآخر لحسابات البريد الإلكتروني ، إلخ.
لذلك من الجيد إضافة مصادقة ثنائية لجميع المواقع التي تدعمها ، بالإضافة إلى استخدام كلمات مرور قوية فريدة لن تعيد استخدامها أبدًا بين الخدمات.
كيفية تثبيت LastPass على Ubuntu ومشتقاته؟
بالنسبة لأولئك المهتمين بالقدرة على تثبيت أحدث إصدار من مدير كلمات المرور هذا على نظامهم ، يمكنهم القيام بذلك باتباع الإرشادات التي نشاركها أدناه.
أول شيء سنفعله هو فتح Terminal (يمكنهم فعل ذلك باستخدام مجموعة المفاتيح Ctrl + Alt + T) وعليه سنقوم بتنفيذ الأمر التالي لتنزيل أحدث إصدار من Lastpass:
wget https://download.cloud.lastpass.com/linux/lplinux.tar.bz2
تم تنزيله بالفعل ، سنقوم الآن بفك ضغط الحزمة باستخدام:
tar xjvf lplinux.tar.bz2
نقوم بالوصول إلى الدليل الذي تم إنشاؤه وتشغيل المثبت باستخدام:
cd lplinux && ./install_lastpass.sh
اعتدت استخدام LastPass من قبل ، لكن منذ أن اكتشفت Bitwarden ، وهو برنامج مجاني ومتوفر على Linux مع Firefox أو Chrome وعلى Android مع التطبيق الخاص به ، والذي لا يستخدمه LastPass ، لم أعد أغيره لأي شيء 🙂