23/03/2017 di Redazione

Sperimentazioni pericolose per LastPass, rischio hackeraggio

Una nuova funzionalità in fase di test ha reso vulnerabile il servizio di gestione delle password, esponendolo a potenziali attacchi e al furto di dati. Il problema , risolto, riguardava le estensioni browser per Firefox e Chrome.

immagine.jpg

Il rischio di far cadere le proprie password nelle mani sbagliate ha aleggiato sugli utilizzatori di LastPass abituati a navigare sul Web con Firefox e Chrome. Il ricercatore di Google Tavis Ormandy, noto per le sue capacità di “bug hunting”, ha scoperto due vulnerabilità delle estensioni browser di LastPass. Un servizio di gestione delle parole chiave – con funzioni di memorizzazione su cloud e portachiavi, compilazione automatica e generazione casuale – che dovrebbe invece essere una garanzia di sicurezza per tutti i dati di login da impiegare su app e siti Web.

Le due vulnerabilità scoperte da Ormandy sono subito state risolte con un update (tanto rapidamente da far meritare a LastPass i complimenti del ricercatore su Twitter) ma una terza non meglio specificata è stata scoperta subito dopo. Potrebbero inoltre risultare ancora funzionanti su versioni di Firefox e Chrome non aggiornate alle ultime release, ovvero rispettivamente alla 4.1.36 e alla 4.1.43.82. Sui meccanismi di attacco resi possibili da questi bug scarseggiano dettagli tecnici. Secondo la descrizione di Ormandy, le falle potrebbero consentire a un hacker di accedere alle Api di LastPass oppure di eseguire codice arbitrario dopo essersi autenticati come utenti “trusted”. Il risultato ovvio di questa intrusione è la possibilità di visionare dati che dovrebbero essere invece protetti, come le credenziali di login degli utilizzatori del servizio oppure i loro dati di iscrizione.

In un blogpost, LastPass ha spiegato che il problema è legato a una “funzionalità sperimentale” inserita nelle estensioni browser del servizio. Problema peraltro già risolto con un update che “dovrebbe installarsi automaticamente per la maggior parte degli utenti”. Per non sbagliare, tuttavia, l'azienda suggerisce di verificare di aver installato l'ultima versione di LastPass e del browser di riferimento, ovvero Firefox 4.1.36, Chrome 4.1.43.82, Edge 4.1.30 e Opera: 4.1.28.

 

 

Non sono richieste ulteriori azioni, né la sostituzione delle vecchie parole chiave archiviate né la modifica della master password. “Non abbiamo indicazioni sul fatto che qualcuna delle vulnerabilità segnalate sia stata sfruttata in Rete”, specifica la società, “ma stiamo conducendo delle verifiche per poterlo confermare. A breve forniremo una spiegazione più dettagliata dell'accaduto”.

 

ARTICOLI CORRELATI