محمدرضا ملاصالحی
محمدرضا ملاصالحی
خواندن ۴ دقیقه·۳ سال پیش

آیا LastPass امنه؟!

من به عنوان یه آدم محتاط همیشه بهترین راه نگه داری رمز رو تو PasswordManagers میدونستم و به شخصه از LastPass استفاده میکردم تا اینکه بعضی از امکاناتش پولی شد رفتم سراغ Bitwarden اما شرکت ما هنوز از LastPass استفاده میکرد مثل خیلی از شرکت های دیگه.

یکی از قابلیت های LastPass شیر پسورد بدون اجازه دادن دیدن اون پسورده به شکلی که شما با داشتن LastPass میتونید و رفتن به سایتی که شیر شده گذینه Fill رو بزنید و خودش پر میکنه ولی شما نمی دونید پسورد چیه اگر هم اونی که شیر کرده میتونه دسترسی رو از شما بگیره و پسوردش رو عوض نکنه فقط کافیه شما رو حذف کنه.

LastPass Share
LastPass Share

این ویژگی واسه خیلی شرکت ها خوبه که به‌طور موقت میتونن دسترسی به کارمنداشون بدن.

شروع داستان

خب با زیاد شد این لیست پسورد های شیر شده من به این فکر افتادم که آیا واقعا فهمیدن این پسورد ها اونقدرا سخته ?

هدف تست اینه که اگه مثلا ما یه سایت داشته باشیم بعد اونو شیر کنن باهامون و تیک View رو نزنن میشه پیداش کرد. خب من با یه سایت ساده بدون HTTPS شروع میکنم واسه شروع فک کنم تست بدی نباشه.

یه سایت ساده رندوم
یه سایت ساده رندوم

خب یه یوزر و پسورد ساده میسازیم (test, test) و شیر میکنیم

ساخت Username و Password
ساخت Username و Password

بعد از اینکه شما شیر کردید و تائید درخواست شیر در ایمیل فرایند شیر تکمیل خواهد شد.

اگر بخواهید پسورد رو که با شما شیر شده ببینید به این ارور خواهید رسید.

نشانه عدم دسترسی به پسورد شیر شده
نشانه عدم دسترسی به پسورد شیر شده

ایده اینه که اگه ما سایت مورد نظر رو Clone کنیم و توی DNS ادرس عوض کنیم میتونیم LastPass رو گول بزنیم که پسورد رو به ما بده. درواقع ما داریم از Phishing استفاده میکنیم با این تفاوت که این حمله را روی خودمان میزنیم.

با یه سرچ ساده اولین ابزار Clone رو که میاد استفاده میکنیم.

  قطعا این ابزار فاصله زیادی داره برای استفاده فیشینگ ولی برای استفاده توی تست ما اوکیه
قطعا این ابزار فاصله زیادی داره برای استفاده فیشینگ ولی برای استفاده توی تست ما اوکیه

خب با یه کلون ساده و بالا آوردن کلون توی VM کار تمومه و یه سایت مثل سایت اصلی داریم.

نحوه کلون
نحوه کلون


سایت کلون شده روی پورت 192.168.1.22
سایت کلون شده روی پورت 192.168.1.22

خب واسه عوض کردن DNS از شانس خوب من زیاد کار سختی نیست چون DNS اصلی من از Pihole هست که قابلیت این کارو تو Local DNS Records داره و براحتی انجام میشه اگر شما از سرویس ها Local DNS استفاده نمیکنید میتونید به صورت تست تو فایل Hosts بزارید که همین نتیجه رو بگیرید.

ذخیره IP تو Pihole
ذخیره IP تو Pihole

حالا با یه چک ساده با Dnslookup میشه مطمئن شد از اینکه همه چیز داره کار میکنه.

نتیجه Dnslookup
نتیجه Dnslookup

نتیجه نشون میده که DNS با Pihole حل میشه و IP که بر میگردونه درسته.

خب حالا وقت تسته ببینیم سایت میاد بالا یا نه

عمل نکردن DNS
عمل نکردن DNS

عه مگه نباید میرفت مستقیم توی Login پیج این که سایت اصلیه !!!

بعد از چک چندباره و تست با FireFox معلوم شد که احتمالا LastPass دخالت میکنه و IP که قبلا سیو کرده رو میفرسته به Chrome

اینجا چندتا سؤال به وجود میاد:

  • از کجا IP رو گرفته؟
  • روی نسخه وب که می تونه تاثیر بزاره ؟
  • میشه این دسترسی رو ازش گرفت ؟

درباره این که توی نسخه وب میشه یا نه باید بگم در نسخه وب خودش پسورد رو پر نمی کنه و این ویژگی حذف کردن دلیلش هم احتمالا بخاطر اینه که نمی تونه تائید کنه خود سایته.

درباره اینکه میشه درسترسی ازش گرفت یا نه باید بگم افزونه های Chrome دسترسی های بیشتری دارند نسبت به افزونه های FireFox، علاوه بر این کدی که این کارو انجام میده یعنی جلوگیری میکنه که سایت از DNS استفاده کنه باید در مرورگر هم تنظیم بشه که این معمولا نیاز به Reopen کردن مرورگر داره.

راه حل تست شده اینه که اول مرورگر FireFox رو باز کنید بعد وارد ادرس سایت شوید باید بدون مشکل وارد سایت کلون شده بشید. پس از آن با نصب افزونه مرورگر و وارد کردن رمز خود میتوانید وارد LastPass شوید. به محض وارد شدن خواهید دید که امکان Fill کردن سایت به وجود میاد و با Fill کردن به راحتی سایت کلون شده Username و Password رو خواهد داشت.

امکان Fill کردن در سایت کلون شده
امکان Fill کردن در سایت کلون شده
user & pass
user & pass
این تست با نسخه 93.0 FireFox و 4.81.0.3 LastPass انجام شده.

نتیجه

جزئیات این مشکل به ایمیل LastPass ارسال خواهد شد و احتمالا بزودی این مشکل حل خواهد شد.

ولی به طور کلی هنوز استفاده از PasswordManager ها رو توصیه میکنم چراکه در امنیت اصلی آنها اصلا شکی نیست و احتمال اینکه کسی غیر از شما دسترسی به پسورد شما پیدا کنه خیلی کمه از طرفی با PasswordManager ها شما میتوانید از رمز های بسیار طولانی و رندوم استفاده کنید که امنیت حساب های اینترنتی شما رو خیلی بالا خواهد برد.

lastpasspentestbugهک و امنیت
مهندسی کامپیوتر دانشگاه علامه طباطبایی ، عاشق کامپیوتر ، برنامه نویس ، دواپس ، اصرار بر متن باز
شاید از این پست‌ها خوشتان بیاید