LASTPASS: Falha de Segurança põe utilizadores em risco

O LastPass é um dos serviços de gestão de passwords mais usados na Internet. Duas falhas de segurança graves revelam que utilizadores estão em risco! Se usas, é importante que actualizes para a última versão.

Com uma interface simples, o Lastpass dá aos utilizadores a segurança necessária para terem os seus logins guardados e prontos a ser usados quando são necessários, evitando que se use a mesma passeword em todo o lado.

Mas nem tudo é um mar de rosas e dada a importância crítica deste serviço, qualquer vulnerabilidade pode ter consequências no mínimo devastadoras. Segundo informações divulgadas esta semana o Lastpass tem duas novas falhas. São simples de explorar e uma delas ainda não terá solução.

As falhas foram descobertas por um elemento da equipa do Google Project Zero. Tavis Ormandy avaliou o serviço e conseguiu comprometer de forma total o LastPass, levando a que todas as palavras passe do utilizador sejam reveladas a um atacante.

Primeiro, o invasor terá que atrair um utilizador do LastPass para um site malicioso. Uma vez lá, Ormandy demonstrou que o site poderia executar ações do LastPass em segundo plano, sem o conhecimento do utilizador, expondo dados.


Identificação errada de sites

Esta falha está na função que o LastPass usa para perceber em que site está, de forma a fornecer ao utilizador as passwords relevantes. Ao consultar o endereço do browser, a aplicação determina o site e fornece as credenciais, caso as tenha armazenadas.

Um investigador de segurança percebeu que a função tem um erro e pode ser facilmente enganada para que o Lastpass pense estar noutro site e assim um atacante pode obter os dados, tudo graças ao preenchimento automático dos dados.

Esta falha foi já corrigida e a função de descoberta de sites melhorada para que seja mais difícil “enganá-la”. É recomendada a actualização do software para a versão mais recente.

Fonte: ELEgante

Deixar uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Time limit is exhausted. Please reload CAPTCHA.