Descubren graves vulnerabilidades en LastPass para Chrome y Firefox

Alejo I
10 11 25
Noticias » Otros
Tavis Ormandy, uno de los investigadores del programa de detección de vulnerabilidades de Google Project Zero, ha descubierto varios problemas de gran calado en la seguridad del popular gestor de contraseñas LastPass. Inicialmente Ormandy encontró la semana pasada un fallo en la versión para Firefox, solo para dar más tarde con otra vulnerabilidad que afecta a ambos Chrome y Firefox, y una tercera sin detallar que permitiría "robar las contraseñas de cualquier dominio".

LastPass ha actualizado ya el gestor para atajar la situación. Según la compañía, no hay constancia de que ningún atacante haya utilizado estas debilidades para hacerse con los datos de acceso de sus usuarios. La más grande y peligrosa de estas deficiencias permite enviar comandos al componente binario de LastPass para ejecutar código de forma remota, según ha podido comprobar el hacker de sombrero blanco. Este fallo permite ejecutar aplicaciones instaladas en el ordenador del usuario (la prueba de concepto utiliza la calculadora de Windows) o inyectar malware con solo visitar un sitio web.

Las debilidades afectan a la extensión 4.1.42.80 para Chrome y 4.1.35a de Firefox. Según LastPass las actualizaciones ya están siendo enviadas a los usuarios, aunque no todo el mundo las ha recibido todavía. Desde el blog oficial de la compañía se señala que próximamente se publicará un informe técnico más detallado para aclarar lo sucedido.

Son numerosos los expertos en seguridad que recomiendan el uso de gestores de contraseñas con una clave maestra fuerte y algún factor de seguridad añadida como la autenticación de dos pasos, puesto que facilitan notablemente el uso de contraseñas complejas y altamente seguras frente al tan extendido uso de contraseñas fáciles de recordar y/o duplicadas. Con esto dicho, si hay un pecado especialmente grave que puede cometer una firma dedicada a proteger las claves de sus usuarios es exponerlas a filtraciones, así que LastPass va a tener que hacer un acto de contrición bastante serio si quiere mantener indemne la confianza del público.
25 comentarios
  1. Hace poco pensé en utilizar este tipo de gestor de contraseñas pues últimamente con las claves para las tarjetas, bancos, foros, etc (mas que todo los bancos que obligan el cambio cada 6 meses), estoy abrumado con contraseñas y la he cagado en más de una ocasión. Menos mal no lo hice. [tomaaa]

    Pero viendo como está el tema, voy a tener que empezar a hacer apuntes [+risas]
  2. Y Opera vuelve a ganar XD

    De todas formas no veo como se puede llevar un directorio de contraseñas de forma segura si no es con Lastpass o un derivado, ya sea local en tu propia máquina(desventaja, es más difícil acceder a tus contraseñas porque no están en una nube, están en tu PC, ventaja, más seguro) o remoto como este. Con el volumen de webs en las que estoy registrado no podría tener una contraseña segura para cada una, no me acordaría.
  3. Cualquiera que "piense" que este tipo de programas realmente son seguros, entonces mal vamos. No hay peor cosa (como objetivo para Hackers) que conocer que alguien esta utilizando un software (posiblemente vulnerable) para acceder a TODAS sus contraseñas y sacarle lo que quieran de arriba a abajo. Por no mencionar que una empresa (no se cual ... hablamos de Apple? Google? no verdad?) haga una App para que tu le metas dentro tus contraseñas .... dios mio, es que solo pensarlo me entran escalofrios. Quien sabe que pueden hacer con esa info una vez recopilada ...
  4. Edy escribió:Cualquiera que "piense" que este tipo de programas realmente son seguros, entonces mal vamos. No hay peor cosa (como objetivo para Hackers) que conocer que alguien esta utilizando un software (posiblemente vulnerable) para acceder a TODAS sus contraseñas y sacarle lo que quieran de arriba a abajo. Por no mencionar que una empresa (no se cual ... hablamos de Apple? Google? no verdad?) haga una App para que tu le metas dentro tus contraseñas .... dios mio, es que solo pensarlo me entran escalofrios. Quien sabe que pueden hacer con esa info una vez recopilada ...


    También hay soluciones opensource como KeePass para no depender de empresas concretas...
  5. pipex55 escribió:Hace poco pensé en utilizar este tipo de gestor de contraseñas pues últimamente con las claves para las tarjetas, bancos, foros, etc (mas que todo los bancos que obligan el cambio cada 6 meses), estoy abrumado con contraseñas y la he cagado en más de una ocasión. Menos mal no lo hice. [tomaaa]

    Pero viendo como está el tema, voy a tener que empezar a hacer apuntes [+risas]


    Tienes Keepass que es open source y offline, osea se genera un archivo encriptado con todos los datos que tu le pongas dentro. Eso si, si pierdes el archivo lo pierdes todo, pero siempre puedes guardarlo en algún pendrive que nunca uses o algo así para tener un respaldo.
  6. Papel y boli :)
  7. banderas20 escribió:Papel y boli :)


    Mas seguro, probablemente si (depende de donde se guarden esas notas y quien tiene acceso a ellas)
    Infinitamente menos practico y cómodo, eso garantizado.
  8. Yo uso el cerebro como gestor de contraseñas xD, tengo bastantes correos y cada uno con una contraseña, lo mismo para los foros, twitter, etc... para eso tengo suerte la verdad.
  9. Alejo I escribió:...Con esto dicho, si hay un pecado especialmente grave que puede cometer una firma dedicada a proteger las claves de sus usuarios es filtrarlas, así que LastPass va a tener que hacer un acto de contrición bastante serio si quiere mantener indemne la confianza del público.


    A que se refiere eso de filtrarlas?
  10. Elkri escribió:
    Alejo I escribió:...Con esto dicho, si hay un pecado especialmente grave que puede cometer una firma dedicada a proteger las claves de sus usuarios es filtrarlas, así que LastPass va a tener que hacer un acto de contrición bastante serio si quiere mantener indemne la confianza del público.


    A que se refiere eso de filtrarlas?

    Es posible que no me haya expresado con claridad ahí. Exponerlas a filtraciones tal vez sea lo más correcto. Por el momento no hay constancia de que se hayan producido filtraciones según LastPass.

    Un saludo.
Ver más comentarios »