¿Qué tan seguro es el último paso si TLS es MITMed?

Navega tus respuestas
1

En el escenario donde mi navegador está configurado para confiar en un certificado de firma controlado por una entidad que reemplaza activamente los certificados TLS de todas mis conexiones (básicamente, estoy siendo MITMed), a qué riesgos me enfrento al usar el navegador LastPass ¿extensión? Supongo que, aparte de la sustitución del certificado, mis conexiones solo se escuchan y las cargas no se modifican.

Mi entendimiento actual es el siguiente: El cliente de Lastpass enviará un hash de mi contraseña maestra a los servidores de Lastpass. Un hash válido significará que el servidor devuelve mi bóveda de contraseña cifrada. El MITM puede reproducir este hash para obtener mi bóveda cifrada. El descifrado de la bóveda ocurre en el navegador. Como tales, mis riesgos son:

  • MITM obtiene la capacidad de capturar mi bóveda cifrada (ya sea sin conexión o reproduciendo mi contraseña de hash).
  • MITM reemplaza la extensión de mi último paso con una versión troyana durante una actualización.
  • MITM captura mis credenciales para otros sitios cuando las uso después de recuperarlas desde Lastpass.

¿Mi entendimiento es correcto? ¿Puedo suponer que (a falta de una extensión troyana) mi bóveda en su totalidad y cualquier credencial que no use sobre la conexión MITM son seguras?

    
pregunta Matthew Sharp 24.07.2017 - 05:18
fuente

1 respuesta

2

Si un adversario puede emitir certificados arbitrarios en los que su navegador confía, entonces todo lo que haga en el navegador podría verse comprometido. En los tres puntos anteriores:

  • Si el blob de la bóveda está cifrado correctamente, debería ser inútil sin que la clave maestra sea conocida solo por usted. Sin embargo, podrían usar otras técnicas para entrometerse, como ver si el tamaño del archivo ha cambiado y correlacionarlo con su actividad web para inferir que creó nuevas credenciales para un sitio. Si también controlan su sistema de correo electrónico, es posible que puedan usar técnicas de restablecimiento de contraseña para ingresar a esas cuentas.
  • Si su navegador confía en que CA para firmar el código, entonces probablemente no debería usar el navegador para tareas confiables como la administración de contraseñas en las extensiones. El cambio más poderoso que podrían introducir en la actualización "troyana" es simplemente transmitir su contraseña maestra a una ubicación que controlen, y tendrán todo. Considere utilizar una solución de administración de contraseñas no integrada en el navegador si está preocupado.
  • Este MitM en particular puede ver las credenciales de todos los sitios con los que se autentica, con LastPass o no, ya que generalmente se transmiten como un campo de texto simple a través de HTTP dentro de la sesión TLS o una cookie en el encabezado HTTP.

Si no están interesados en ingresar a la extensión de LastPass, entonces tienen tanto acceso a su archivo de base de datos real como a LastPass. El mayor problema es que ellos pueden rastrear las contraseñas que ingresas en todos los sitios en este momento. Además, cualquier cookie que se use para autenticarse automáticamente en los sitios también está visible y se puede usar para obtener acceso a esos sitios.

    
respondido por el Liam Dennehy 24.07.2017 - 17:47
fuente

Lea otras preguntas en las etiquetas

Problema de Go.redirectro [cerrado] Fijación de sesión usando XSS