LastPass tiene un montón de problemas críticos de los cuales al menos uno permite a los atacantes comprometer el administrador de contraseñas de forma remota conforme al investigador de Google Tavis Ormandy.
Ultimo pase es uno de los servicios de administración de contraseñas en línea más populares en Internet. El servicio ofrece extensiones para varios navegadores, aplicaciones móviles y soluciones dedicadas para varios sistemas operativos y dispositivos.
Tavis Ormandy envió un informe completo a LastPass y parece que la compañía está trabajando para analizar y solucionar los problemas en el momento de escribir este artículo.
Los problemas aún no se han hecho públicos. Si bien eso es lo correcto hasta que se solucionen, significa que los usuarios de LastPass no saben realmente si el problema se puede mitigar hasta que se proporcione una solución.
Actualizar: LastPass lanzó una actualización de seguridad para el complemento de Firefox. Conforme a una publicación de blog en el sitio oficial, un atacante podría atraer a un usuario de LastPass a un sitio malicioso para ejecutar acciones de LastPass en segundo plano sin que el usuario las sepa. Esto se ha solucionado en LastPass 4.0 para Firefox.
Información adicional sobre el problema informado está disponible en el Foro de Project Zero en Chromium.org.
Vulnerabilidad de LastPass Remote Compromise
La única información proporcionada son los siguiendo dos tweets:
¿La gente realmente está usando este último paso? Eché un vistazo rápido y pude ver un montón de problemas críticos obvios. Enviaré un informe lo antes posible.
Informe completo enviado a LastPass, están trabajando en ello ahora. Sí, es un compromiso remoto completo. Sí, prometo que miraré 1Password.
Teniendo en cuenta eso, no está claro si características como la autenticación de dos factores o el uso de otros complementos de seguridad protegen a los usuarios y los datos de los ataques. De hecho, ni siquiera está claro si la red y la infraestructura de LastPass, la extensión del navegador, las aplicaciones móviles u otros productos se ven afectados por la vulnerabilidad.
Es muy posible que solo la extensión del navegador se vea afectada, considerando que es lo más probable que Tavis echó un vistazo debido a su disponibilidad para el navegador Chrome.
El investigador de seguridad fijó su vista en el siguiente administrador de contraseñas, 1Password, que es el siguiente según un mensaje de Twitter.
Los administradores de contraseñas almacenan datos críticos. Esto los convierte en uno de los programas más importantes para un usuario y un objetivo lucrativo para los atacantes.
El problema de seguridad revelado no es el primer incidente en la historia de LastPass. En 2015, LastPass confirmó que detectó actividad sospechosa en la red de la empresa. Solo recientemente, otro problema Se informó y se corrigió que permitía a los atacantes extraer contraseñas utilizando la función de autocompletar de la extensión.
LastPass suele ser muy receptivo y rápido cuando se trata de corregir problemas de seguridad que afectan a los productos de la empresa. Actualizaremos el artículo cuando salga a la luz nueva información.