Managerul de parole LastPass are o vulnerabilitate gravă
LastPass este un manager de parole de încredere, doar că în ultima perioadă are parte de probleme de securitate.
Aplicația este la cea de-a doua problemă în ultimele săptămâni, iar acum lucrează la rezolvarea unei probleme care ar permite unui atacator să execute comenzi de la distanță pe PC-ul tău și să-ți acceseze parolele.
LastPass este o extensie de browser și o aplicație de mobil. Atunci când îți creezi un cont, aplicația te va ajuta să creezi parole puternice și îți stochează aceste date într-un ”seif” criptat. Aplicația oferă și posibilitatea de autofill pentru adrese și date de carduri, fiind un asistent extrem de versatil când vine vorba de completat astfel de câmpuri.
Noua vulnerabilitate a fost descoperită de Tavis Ormandy, cercetător la Google Project Zero. Acesta a descoperit și problema anterioară, pe care LastPass a rezolvat-o în urmă cu o săptămână. Ambele vulnerabilități au aceleași consecințe, permițând unui atacator să obțină acces la datele tale și să execute comenzi fără știrea ta. Trebuie doar să ajungi pe un site virusat pentru a avea astfel de probleme. Dacă, în schimb, nu ești logat pe contul de LastPass, arhiva rămâne în siguranță, arată extremetech.com.
Ormandy a confirmat problema atât pe Linux, cât și pe Windows, dar crede că ar putea funcționa și pe macOS. În principiu, oriunde extensia este activă, vulnerabilitatea este prezentă. Creatorii aplicației vor rezolva, cu siguranță, și această problemă într-un timp scurt, având în vedere că țin la renumele lor.
Atacul este considerat unul destul de sofisticat, dar detaliile cu privire la acesta vor fi oferite de-abia după ce problema va fi rezolvată. Ormandy crede, însă, că va dura ceva timp până când problema de acum să fie rezolvată, fiind o problemă care ține de arhitectura programului în sine.
Între timp, utilizatorii de LastPass sunt încurajați să evite site-urile dubioase și să aibă activată autentificarea în doi pași, oriunde aceasta este posibilă.