Las aplicaciones que posibilitan el almacenamiento y gestión de contraseñas de forma sencilla se han convertido en populares. El comienzo fue algo dubitativo, pero tras superar el periodo de aclimatación, son muchos los usuarios y empresas que hacen uso de esta. Sin embargo, no son del todo seguras y una prueba de ello es LastPass 4.1.42.
Al igual que las herramientas de seguridad y softwares antivirus, los usuarios esperan tener en sus manos un producto que responde en materia de seguridad a la importancia de los datos que se protegen. En este caso, estamos hablando de contraseñas de servicios, información que debería ser privada y solo visible por el usuario propietarios.
Pero esto no es así y por esto es noticia este software. El investigador Tavis Ormandy, miembro de la iniciativa Project Zero de Google, ha informado sobre un exploit descubierto que perite acceder a las contraseñas almacenadas. Aunque no está confirmado al 100%, parece ser que LastPass 4.1.42 y todas las versiones anteriores están afectadas por el problema de seguridad.
Por cortesía profesional, los detalles no se han revelado al 100%, ofreciendo 90 días a los responsables de la aplicación para que encuentren una solución al problema. Esta versión para navegadores Google Chrome y Mozilla Firefox permite a atacantes de forma totalmente remota acceder a las contraseñas y realizar la ejecución remota de código.
El experto en seguridad ha revelado que han trabajado varios días en este exploit y que basta con dos líneas de código para aprovechar el fallo de seguridad y sin que el usuario tenga que intervenir en el proceso.
No es el único problema que han hecho frente desde LastPass
Junto con KeePass, es una de las herramientas más utilizadas para almacenar contraseñas. Pero la seguridad es una asignatura pendiente. Sin ir más lejos, en enero de este año se supone que la aplicación no estaba cifrando todos los datos de los usuarios.
Hace dos años, el servicio sufrió un hackeo y nunca se supo cuál fue la información que quedó al descubierto.
El camino de este servicio no está siendo fácil, y una vez más queda demostrado que las tareas en lo que se refiere a materia de seguridad no se han cumplido.
Los responsables del servicio ya están trabajando en una solución
Desde LastPass han salido al paso de estas informaciones, confirmando la existencia de un problema de seguridad. Han querido transmitir cierta tranquilidad, indicando que es complicado que se explote. Han indicado que ya están trabajando en una solución que resuelva este exploit que ha sido encontrado por los miembros de Project Zero.
Teniendo en cuenta que el problema aparece cuando se utiliza el software de gestión de contraseñas con los navegadores web de Google y de Mozilla, una de las medidas que se pueden adoptar hasta que se encuentre una solución puede ser la desactivación de LastPass. En el momento que aparezca la nueva versión es recomendable actualizar. Como hemos indicado, no solo esta versión estaría afectada, también todas las anteriores publicadas del gestor de contraseñas.
Fuente: https://www.redeszone.net
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
