O LastPass é um dos serviços de gestão de passwords mais usados na Internet. Duas falhas de segurança graves revelam que utilizadores estão em risco! Se usas, é importante que actualizes para a última versão.
Com uma interface simples, o Lastpass dá aos utilizadores a segurança necessária para terem os seus logins guardados e prontos a ser usados quando são necessários, evitando que se use a mesma passeword em todo o lado.
Mas nem tudo é um mar de rosas e dada a importância crítica deste serviço, qualquer vulnerabilidade pode ter consequências no mínimo devastadoras. Segundo informações divulgadas esta semana o Lastpass tem duas novas falhas. São simples de explorar e uma delas ainda não terá solução.
As falhas foram descobertas por um elemento da equipa do Google Project Zero. Tavis Ormandy avaliou o serviço e conseguiu comprometer de forma total o LastPass, levando a que todas as palavras passe do utilizador sejam reveladas a um atacante.
Primeiro, o invasor terá que atrair um utilizador do LastPass para um site malicioso. Uma vez lá, Ormandy demonstrou que o site poderia executar ações do LastPass em segundo plano, sem o conhecimento do utilizador, expondo dados.
Identificação errada de sites
Esta falha está na função que o LastPass usa para perceber em que site está, de forma a fornecer ao utilizador as passwords relevantes. Ao consultar o endereço do browser, a aplicação determina o site e fornece as credenciais, caso as tenha armazenadas.
Um investigador de segurança percebeu que a função tem um erro e pode ser facilmente enganada para que o Lastpass pense estar noutro site e assim um atacante pode obter os dados, tudo graças ao preenchimento automático dos dados.
Esta falha foi já corrigida e a função de descoberta de sites melhorada para que seja mais difícil “enganá-la”. É recomendada a actualização do software para a versão mais recente.