image

Firefox-lek maakte diefstal opgeslagen wachtwoorden mogelijk

maandag 19 augustus 2019, 08:06 door Redactie, 12 reacties

Mozilla heeft een nieuwe versie van Firefox uitgebracht wegens een beveiligingslek waardoor het mogelijk was om opgeslagen wachtwoorden van gebruikers te stelen. Firefox biedt een wachtwoordmanager voor het opslaan van wachtwoorden. De wachtwoordmanager kan met een "master password" worden beveiligd, zodat opgeslagen wachtwoorden alleen na het opgeven van het master password toegankelijk zijn.

Via het Saved Logins-menu van Firefox kunnen gebruikers zien welke wachtwoorden door de browser zijn opgeslagen. Ook biedt het menu een optie om opgeslagen wachtwoorden te kopiëren. In het geval er een master password is ingesteld moet dit eerst worden opgegeven voordat de wachtwoorden zichtbaar zijn.

Door het beveiligingslek was het echter mogelijk om via de "copy password" optie wachtwoorden te kopiëren en in het clipboard te plakken, zonder dat het master password eerst was opgegeven. Op deze manier was het mogelijk geweest om opgeslagen wachtwoorden te stelen, aldus Mozilla. Updaten naar Firefox 68.0.2 kan via de automatische updatefunctie en Mozilla.org.

Reacties (12)
19-08-2019, 09:20 door Anoniem
Hoe kan dit nou. Wat een implementatiefout. Je zou verwachten dat de wachtwoorden met het master password versleuteld zouden zijn en dat je dus zonder het master pwd alleen een versleutelde string kan kopieren...
19-08-2019, 09:59 door Korund
Ik gebruik nogal eens de functie Copy Password vanuit het "Saved Logins" venster, maar ik moet altijd eerst mijn master password opgeven. Ook in mijn huidige versie 68.0.1 waar de bug in zou moeten zitten.
19-08-2019, 10:12 door Anoniem
Door Anoniem: Hoe kan dit nou. Wat een implementatiefout. Je zou verwachten dat de wachtwoorden met het master password versleuteld zouden zijn en dat je dus zonder het master pwd alleen een versleutelde string kan kopieren...

Dit zou je verwachten. Maar dat levert wel een probleem op bij het wijzigen van je master password. Firefox moet ieder wachtwoord met het oude master password ontsleutelen. Daarna moet ieder wachtwoord met het nieuwe master password versleuteld worden. Dat duurt niet lang. Als er zich echter halverwege een fout voordoet, of de machine valt uit. Dan is misschien niet alles met het nieuwe master password beveilligt.

Het zou dus kunnen zijn dat men voor een andere methode heeft gekozen. Daarbij geeft het master password toegang tot de encryption key. Het lek geeft echter ook zonder master password toegang tot die key.

Door Korund: Ik gebruik nogal eens de functie Copy Password vanuit het "Saved Logins" venster, maar ik moet altijd eerst mijn master password opgeven. Ook in mijn huidige versie 68.0.1 waar de bug in zou moeten zitten.

Een kwetsbaarheid zit eigenlijk nooit in het gewone gebruik. Anders zou dat al lang eerder zijn ondekt. Een kwetsbaarheid zit dieper in het systeem. Je moet even wat moeite doen.

Peter
19-08-2019, 10:21 door Briolet
Door Anoniem: …Je zou verwachten dat de wachtwoorden met het master password versleuteld zouden zijn en dat je dus zonder het master pwd alleen een versleutelde string kan kopieren...

Ik vind dit ook vreemd. De browser zou zelf dat master password niet moeten kennen en dus nooit zelfstandig de wachtwoorden kunnen ontsleutellen, zelfs als er een grote bug in zit. Of gebruikt Firefox een encryptie met een achterdeurtje om bij de wachtwoorden te komen?
19-08-2019, 12:05 door Anoniem
Door Anoniem: Dit zou je verwachten. Maar dat levert wel een probleem op bij het wijzigen van je master password. Firefox moet ieder wachtwoord met het oude master password ontsleutelen. Daarna moet ieder wachtwoord met het nieuwe master password versleuteld worden. Dat duurt niet lang. Als er zich echter halverwege een fout voordoet, of de machine valt uit. Dan is misschien niet alles met het nieuwe master password beveilligt.
Dat is een al lang opgelost probleem. De eigenlijke encryptiesleutel is een random string, en die wordt met het master password versleuteld. Verander je het master password dan ontsleutel je de echte sleutel met het oude master password en versleutel je het met het nieuwe. Er hoeft maar één item gewijzigd te worden, alle opgeslagen wachtwoorden van websites blijven ongemoeid.

Als men dit bij Mozilla niet weet, of dat onderdeel heeft laten bouwen door mensen die dit niet weten, dan is dat niet best. Maar dat wachtwoorden helemaal niet versleuteld werden met het master password doet vermoeden dat daar inderdaad fors is gebeunhaasd op dit onderdeel. Hoe dan ook is dit geen beste beurt.
19-08-2019, 12:07 door Anoniem
Door Briolet: Ik vind dit ook vreemd. De browser zou zelf dat master password niet moeten kennen en dus nooit zelfstandig de wachtwoorden kunnen ontsleutellen, zelfs als er een grote bug in zit. Of gebruikt Firefox een encryptie met een achterdeurtje om bij de wachtwoorden te komen?
Ik vind het erop lijken dat de wachtwoorden om te beginnen niet met het hoofdwachtwoord versleuteld werden maar dat dat alleen werd gebruikt om een toegangscontrole voor de wachtwoordendatabase uit te voeren.
19-08-2019, 13:18 door Anoniem
Door Anoniem:
Door Briolet: Ik vind dit ook vreemd. De browser zou zelf dat master password niet moeten kennen en dus nooit zelfstandig de wachtwoorden kunnen ontsleutellen, zelfs als er een grote bug in zit. Of gebruikt Firefox een encryptie met een achterdeurtje om bij de wachtwoorden te komen?
Ik vind het erop lijken dat de wachtwoorden om te beginnen niet met het hoofdwachtwoord versleuteld werden maar dat dat alleen werd gebruikt om een toegangscontrole voor de wachtwoordendatabase uit te voeren.

Ja dat zou wel een mooie combi zijn van zo veel mogelijk hinder voor de gebruiker en zo min mogelijk beveiliging.
19-08-2019, 14:33 door Anoniem
Door Anoniem: Hoe kan dit nou. Wat een implementatiefout. Je zou verwachten dat de wachtwoorden met het master password versleuteld zouden zijn en dat je dus zonder het master pwd alleen een versleutelde string kan kopieren...

Dit lijkt me inderdaad zowat het meest belangrijke onderdeel van het opslaan van de wachtwoorden..
19-08-2019, 17:00 door Anoniem
Om de vragen hierboven te beantwoorden;
Dit probleem doet zich alleen voor bij een sessie waarin het master-password al een keer is ingevoerd, en de wachtwoorden dus al ontsleuteld zijn. Wanneer de wachtwoorden ontsleuteld zijn, is het opnieuw invoeren van het master-password nodig om de functie "view password" binnen de wachtwoordmanager te gebruiken. Het gaat dan niet meer om het ontsleutelen van de wachtwoorden, maar het zichtbaar maken van de reeds ontsleutelde wachtwoorden.

Door deze fout werd de prompt voor het master-password dus niet (opnieuw) gegeven wanneer men simpelweg het wachtwoord kopieerde met ctrl-c of rechtermuisknop -> copy.

De implementatiefout is dus niet dat de wachtwoorden niet versleuteld worden, maar dat ze na de eerste keer ontsleutelen, ontsleuteld in het geheugen blijven en ook nog eens via de GUI bereikbaar zijn.
19-08-2019, 17:17 door Anoniem
Door Anoniem: De implementatiefout is dus niet dat de wachtwoorden niet versleuteld worden, maar dat ze na de eerste keer ontsleutelen, ontsleuteld in het geheugen blijven en ook nog eens via de GUI bereikbaar zijn.
Ah, dank je, dat verduidelijkt een hoop.
19-08-2019, 17:22 door Anoniem
Door Korund: Ik gebruik nogal eens de functie Copy Password vanuit het "Saved Logins" venster, maar ik moet altijd eerst mijn master password opgeven. Ook in mijn huidige versie 68.0.1 waar de bug in zou moeten zitten.
Hier hetzelfde, al jaren. Voor mij persoonlijk veilig genoeg. Enige reden voor mijn master password is dat bij overlijden mijn familie niet overal zomaar kan gaan inloggen.
Het moet tenslotte wel een ver(r)assing blijven dat ergens 'n spaarrekening is waarvan je een low-low-budget begrafenis zou kunnen betalen ;-).
13-12-2019, 19:03 door Anoniem
Kan een addon wachtwoorden uitlezen als ik toestemming geef voor 'Uw gegevens voor alle websites benaderen'
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.