Maak je gebruik van LastPass? Pas dan op, want Google Project Zero heeft een fout gevonden in de populaire wachtwoordmanager. Inmiddels is er een patch verschenen om te zorgen dat websites worden weerhouden de informatie van het laatst ingelogde account te stelen. Het gaat dan om de Chrome- en Opera-extensie van LastPass.
Google Project Zero-onderzoeker Tavis Ormandy ontdekte het zwakke punt en gaf dit direct door aan LastPass. Het zat hem in de manier waarop de extensie pop-upvenster opende. Af en toe kwam er door een website een pop-up door middel van een HTML-iframe in plaats van hoe het hoort: via de functie do_popupregister(). Daardoor openden pop-ups soms met het wachtwoord van de meest recent bezochte website. Oeps. Hierdoor kunnen de gegevens van de ene site ‘doorlekken’ naar de volgende door een praktijk die clickjacking wordt genoemd.
Clickjacking is een manier om de ware bestemming van een site te tonen in een weblinkje. Het gaat vaak om linkjes die niet oké zijn, maar die er verder heel betrouwbaar uitzien. Klik je er eenmaal op, dan wordt de foute pagina geopend, terwijl jij denkt op de goede pagina te zijn. Omdat in sommige gevallen dus een iframe komt, is het mogelijk om dit misbruik toe te passen.
Klinkt allemaal niet zo zuiver, maar LastPass heeft inmiddels bevestigd dat de bug eruit is gehaald. Vraag je je af of LastPass nog wel veilig is? Nog steeds zijn er veel security-experts die wachtwoordmanagers aanraden. Het is handig om zo’n manager te gebruiken, omdat je hierdoor makkelijker voor elke site weer een ander wachtwoord kunt aanmaken, wat uiteindelijk veiliger is dan overal hetzelfde te gebruiken. Je kunt bovendien de wachtwoorden echt ingewikkeld maken, omdat je ze toch altijd weer kunt terugvinden.
Je kunt LastPass nog wel gebruiken, maar probeer wel altijd multi-factor authenticatie aan te zetten als het mogelijk is. Mochten hackers dan toch je ingewikkelde wachtwoord hebben ontfutseld, dan is er tenminste nog een andere barricade waar ze doorheen moeten. Het enige nadeel is dat je die barricade dus ook zelf steeds voor de kiezen krijgt. De nieuwe versie van LastPass, 4.33.0, zou automatisch op je computer geïnstalleerd moeten zijn. Maar, het kan natuurlijk geen kwaad dit voor de zekerheid te checken.