جوجل تحذر من ثغرة أمنية في تطبيق إدارة كلمات المرور "LastPass"

كتب - عاصم الأنصاري:

اكتشف باحث أمني في شركة جوجل الأمريكية ثغرة أمنية في تطبيق إدارة كلمات المرور "LastPass"، عرضت مستخدميه لخطر الاختراق.

ووفق ما ذكر موقع "فوربس"، أن الباحث في فريق البحث عن الأخطاء في جوجل والمسمى "Google Project Zero"، تافيس أورماندي، كشف عن ثغرة أمنية عرضت مستخدمي "LastPass" والبالغ عددهم 16 مليونًا، بما في ذلك 58000 شركة، والتي تسرب آخر كلمة مرور تستخدم في أي موقع ويب تمت زيارته.

وعادةً ما يبلغ فريق "Google Project Zero" الشركات المعنية عندما يعثر على ثغرة أمنية، ويمنحها مدة 90 يومًا لإصدار إصلاح قبل الكشف العام عن الخلل.

وبحسب الباحث، تكشف الثغرة عن بيانات اعتماد المستخدمين بسبب عدم تحديث ذاكرة التخزين المؤقت، مضيفًا "السبب في ذلك هو أنه يمكنك تجاوز ذاكرة التخزين المؤقت لبيانات اعتماد علامة التبويب التي يتم ملؤها من خلال تضمين تسجيل الدخول بطريقة غير متوقعة"، ويتطلب تنفيذها تعليمات جافا سكريبت خبيثة، دون أي تفاعل من قبل المستخدم.

ويمكن للقراصنة إخفاء برمجيات ضارة بسهولة خلف رابط معين، وخداع المستخدمين من أجل زيارة الرابط، ثم استخراج بيانات الاعتماد من موقع تمت زيارته مسبقًا.

وأصدر تطبيق "LastPass" تصحيحًا للمشكلة برقم "4.33.0" في يوم 12 سبتمبر.

وقال مدير هندسة الأمن في "LastPass"، فيرينك كون: "أن الخطأ اقتصر على متصفحي كروم وأوبرا".

وتنصح شركة "LogMeIn" المطورة لتطبيق "LastPass" المستخدمين بإجراء تحديث يدوي في أقرب وقت ممكن، في حال عدم تفعيل آلية التحديث التلقائي.