Tavis Ormandy, uno de los investigadores del programa de detección de vulnerabilidades de Google
Project Zero, ha descubierto varios problemas de gran calado en la seguridad del popular gestor de contraseñas
LastPass. Inicialmente Ormandy encontró la semana pasada un
fallo en la versión para Firefox, solo para dar más tarde con
otra vulnerabilidad que afecta a ambos Chrome y Firefox, y una tercera sin detallar que permitiría "robar las contraseñas de cualquier dominio".
LastPass ha actualizado ya el gestor para atajar la situación. Según la compañía, no hay constancia de que ningún atacante haya utilizado estas debilidades para hacerse con los datos de acceso de sus usuarios. La más grande y peligrosa de estas deficiencias permite enviar comandos al componente binario de LastPass para ejecutar código de forma remota, según ha podido
comprobar el
hacker de sombrero blanco. Este fallo permite ejecutar aplicaciones instaladas en el ordenador del usuario (la prueba de concepto utiliza la calculadora de Windows) o inyectar
malware con solo visitar un sitio web.
Las debilidades afectan a la extensión 4.1.42.80 para Chrome y 4.1.35a de Firefox.
Según LastPass las actualizaciones ya están siendo enviadas a los usuarios, aunque no todo el mundo las ha recibido todavía. Desde el blog oficial de la compañía se señala que próximamente se publicará un informe técnico más detallado para aclarar lo sucedido.
Son numerosos los expertos en seguridad que recomiendan el uso de gestores de contraseñas con una clave maestra fuerte y algún factor de seguridad añadida como la autenticación de dos pasos, puesto que facilitan notablemente el uso de contraseñas complejas y altamente seguras frente al tan extendido uso de contraseñas fáciles de recordar y/o duplicadas. Con esto dicho, si hay un pecado especialmente grave que puede cometer una firma dedicada a proteger las claves de sus usuarios es
exponerlas a filtraciones, así que LastPass va a tener que hacer un acto de contrición bastante serio si quiere mantener indemne la confianza del público.
Fuente: ZDNet