Google-Forscher entdeckt kritische Sicherheitslücken in LastPass

Tavis Ormandy sieht nach kurzem Blick auf den Passwortmanager "eine Reihe von offensichtlich kritischen Problemen". Demnach ist das vollständige Auslesen aller gespeicherten Passwörter möglich. Der vom Sicherheitsforscher informierte Hersteller arbeitet inzwischen an der Behebung der Schwachstellen.

Tavis Ormandy von Google Project Zero hat kritische Probleme im Passwortmanager LastPass entdeckt, die letztlich eine vollständige Kompromittierung aus der Ferne erlauben – was hier offenbar dem Auslesen aller gespeicherten Passwörter gleichkommt. Der vom Sicherheitsforscher informierte Hersteller arbeitet inzwischen an der Behebung der Schwachstellen.

Anmeldung mit Master-Passwort (Bild: LastPass)Anmeldung mit Master-Passwort (Bild: LastPass)

Die Nutzer machte Ormandy mit zwei prägnanten Tweets aufmerksam. „Gibt es wirklich Leute, die dieses LastPass-Ding benutzen?“ fragte er in der ersten Nachricht und kündigte an: „Ich habe mir das kurz angesehen und kann eine Reihe von offensichtlich kritischen Problemen sehen. Ich werde so schnell wie möglich einen Bericht senden.“ Mit einem zweiten Tweet bestätigte er den Vollzug: „Vollständiger Bericht an LastPass geschickt, sie arbeiten jetzt daran. Ja, es geht um eine vollständige Kompromittierung aus der Ferne.“

Mehr ist derzeit nicht bekannt, was Ungewissheiten für Millionen von potenziell betroffenen Anwendern schafft. Sie wissen nicht, ob Features wie Zwei-Faktor-Authentifizierung oder der Einsatz anderer Sicherheits-Add-ons Nutzer und Daten vor Angriffen schützen könnten. Unklar ist zudem, ob die Infrastruktur von LassPass betroffen ist, mobile Apps, die Browser-Erweiterung oder andere Produkte. Ghacks.net tippt auf die Browser-Erweiterung, da Ormandy sich diese wahrscheinlich wegen ihrer Verfügbarkeit für den Google-Browser Chrome angesehen habe.

ANZEIGE

Memory Introspection für den Hypervisor: ein neues Sicherheitsframework für virtualisierte Umgebungen

Von den Mainframes der 1960er-Jahre bis zur gegenwärtigen cloud-orientierten Entwicklung haben sich Rechenzentren enorm gewandelt. Als Anwendungen missionskritisch wurden und Desktop-Server in professionelle Rechenzentren umgezogen wurden, nahm die Anzahl physischer Server in den Rechenzentren exponentiell zu.

Das im letzten Jahr von LogMeIn übernommene LastPass bietet den gleichnamigen Online-Passwortmanager für Privatanwender als kostenlose und als Premium-Variante an. Als Open-Source-Alternative ist KeePass verbreitet, das Passwörter in einer einzigen, sicheren Datenbank verwaltet. KeePass gehört auch zu den Lösungen, die das Projekt EU-Fossa eben einem umfangreichen Sicherheits-Audit unterzieht.

Tavis Ormandy machte sich einen Namen durch laufende Enthüllungen gefährlicher Lücken in gängiger Software. So meldete er etwa kritische Schwachstellen in Produkten von Symantec und Norton, Lecks in Malwarebytes Anti-Malware-Tool sowie Sicherheitslücken in Antivirensoftware von Kaspersky und AVG.

Anfang dieses Jahres entdeckte der Google-Forscher bereits eine kritische Lücke in Trend Micros Passwortmanager. Die Kategorie der Passwortmanager hält er offenbar für besonders prüfungsbedürftig und kündigte an, sich gleich einen weiteren vorzunehmen: „Ja, ich verspreche, mir 1Password anzusehen.“

Neueste Kommentare 

3 Kommentare zu Google-Forscher entdeckt kritische Sicherheitslücken in LastPass

Kommentar hinzufügen
  • Am 28. Juli 2016 um 10:53 von M@tze

    Genau deswegen halte ich es persönlich für sicherheitstechnisch bedenklich, alle seine Logins, Passwörter, … einem einzigen Tool anzuvertrauen – so komfortabel das auch sein mag. Wird das Masterpassword oder das Tool gehackt, sind gleich alle Accounts kompromittiert. Zumal diese Tools wirklich lohnende Angriffsziele sind…

    • Am 28. Juli 2016 um 18:09 von PeerH

      Sehe ich auch kritisch – manchmal ist eine kleine Störung alle paar Monate (mit folgendem Passwort Tausch) hinnehmbar, und allemal besser als ein GAU.

  • Am 29. Juli 2016 um 19:00 von Matze

    Die Lücke ist längst gestopft – und lt. Ormandy war auch keine Gefahr, wenn zusätzlich per 2-Faktor-Authentisierung abgesichert wird. Sollte eh Standard sein IMHO…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *