菜单
2021年8月20日 | 通过

幽灵和安全您的LastPass浏览器扩展

2018年,一个第三方硬件漏洞被称为幽灵,它会影响大多数现代中央处理器(简称“处理器”)。该漏洞被证明有可能打破正在运行的应用程序之间的隔离,并允许从计算机上同时运行的程序中窃取数据。Spectre有能力影响任何在可能受到影响的硬件上运行的网站或基于浏览器的扩展。

当时,LogMeIn立即开始调查并采取措施限制Spectre的影响。作为新兴的研究我们积极与谷歌的Chromium站点隔离团队合作,以更好地了解任何对基于浏览器的密码管理器的潜在影响。雷竞技押注图片

最新的发展还发现了可能的攻击载体或类型,试图破坏存储在任何网站和/或浏览器扩展(s)上的潜在个人或机密数据,无论网站或扩展提供商。谷歌最近发布了更新,旨在防止这些类型的攻击,并防止基于铬的浏览器(如Chrome)上的数据被泄露。

我们鼓励所有使用LastPass浏览器扩展的客户审查最新的发展和我们推荐的安全步骤概述如下,以更好地保护他们的个人或机密数据。

漏洞详情

谷歌的Chrome和其他浏览器,隔离网页和/或浏览器扩展,以防止恶意网页和/或浏览器扩展能够读取应用程序的潜在个人或机密数据。这种“站点隔离”是通过在不同的计算机进程中运行每个网页和/或浏览器扩展程序来实现的,以使它们彼此隔离。虽然大多数程序的设计都带有这一功能,但最近的研究揭示了漏洞可以利用“隔离”来保护用户数据的方法。

攻击者可能使用的方法之一是强迫一个正在运行的网站与恶意网站组成相同的“孤立进程”。当恶意网站与非恶意网站共享顶级域名时,浏览器会优化将该网站放入相同的进程中,就会发生这种情况。这种攻击方法可能允许访问存储在运行网站的内存中的所有数据,包括某人可能的个人或机密数据。为了大大降低与这种发作相关的风险,谷歌的研究取得了进展铬92(如上所述)和启用了裂变的Firefox,此外,我们继续推荐以下概述的安全最佳实践。

另一个需要考虑的是浏览器扩展;软件安装在您的浏览器利用内容脚本,即在网页上下文中运行的文件。内容脚本可以读取浏览器访问的网页的详细信息,对它们进行更改,并将信息传递给它们的父扩展。恶意浏览器扩展还可能绕过特定的隔离屏障并访问其他扩展中的数据需要注意的是,谷歌的Chrome 92已经解决了浏览器扩展隔离问题。

例如,LastPass浏览器扩展的内容脚本被用来从您的加密库转移凭据到web页面提交,我们限制秘密存储在内存中的时间,只有在需要的时候才会达到最小。凭证只在需要扩展特性操作时在内容脚本中传递。

您可以采取的步骤来保护您的个人或机密数据

为了更好地保护您潜在的个人或机密数据,并降低您面临网络威胁和漏洞(如Spectre)的风险,我们建议我们的用户、客户和社区成员在网上浏览时始终保持谨慎和勤勉。下面是一些推荐的最佳安全实践。

  • 使用LastPass帮助识别假冒网站。使用密码管理器的好处之一是,它只会将密码输入到您创建密码的原始雷竞技押注图片站点。如果您访问的网站乍一看是合法的,但有一个虚假的URL,请注意,如果您的密码管理器不识别该网站和自动填写您的凭证。雷竞技押注图片这是一个危险的信号,你可能是在一个欺骗网站。
  • 只安装知名的浏览器扩展访问知名公司的网站。仔细检查网站URL和扩展名的拼写,确保它们是通过https安全的。
  • 保持浏览器和应用程序是最新的与最新的软件版本发布,并启用自动软件更新在您的浏览器设置可用。很多时候,这些更新包括添加的安全特性和漏洞补丁,如上述进展谷歌的铬92启用裂变功能的Firefox以降低因幽灵党造成的风险。
  • 管理你的标签限制你一次打开的网页数量。如果可能,在浏览包含个人或机密数据的网站(如网上银行或社交媒体账户)时,关闭其他不必要的标签,以防止数据交叉。作为一个最佳实践-如果你登录到一个带有个人或机密数据的网页,但不再需要打开该网页或帐户,登出并关闭该网页。
  • 浏览网站在'私人'模式,特别是在浏览敏感网站时。的名称取决于您使用的浏览器隐私浏览选项可能有所不同。提示:如果你发现你的LastPass扩展在私人浏览模式下不工作,你可以在浏览器扩展中管理你的设置,以允许扩展在私人浏览模式下运行。

一如既往,为所有LogMeIn和LastPass用户提供安全、可靠的服务仍然是我们的首要任务。在与谷歌合作的同时,我们还将继续监控与Spectre和其他浏览器安全特性相关的发展。

欲了解更多有关LogMeIn在安全和隐私方面的立场,请访问我们的信任与隐私中心


讨论/阅读评论

留下一个回复

留下一个回复

加入我们的时事通讯

输入您的电子邮件更新LastPass博客。雷竞技严newbee赞助商