Las aplicaciones que posibilitan el
almacenamiento y gestión de contraseñas de forma sencilla se han convertido en
populares. El comienzo fue algo dubitativo, pero tras superar el periodo de
aclimatación, son muchos los usuarios y empresas que hacen uso de esta. Sin
embargo, no son del todo seguras y una prueba de ello es LastPass 4.1.42.
Al igual que las herramientas de
seguridad y softwares antivirus, los usuarios esperan tener en sus manos un
producto que responde en materia de seguridad a la importancia de los datos que
se protegen. En este caso, estamos hablando de contraseñas de servicios, información
que debería ser privada y solo visible por el usuario propietarios.
Pero esto no es así y por esto es
noticia este software. El investigador Tavis Ormandy, miembro de la iniciativa
Project Zero de Google, ha informado sobre un exploit descubierto que perite
acceder a las contraseñas almacenadas. Aunque no está confirmado al 100%,
parece ser que LastPass 4.1.42 y todas las versiones anteriores están afectadas
por el problema de seguridad.
Por cortesía profesional, los detalles
no se han revelado al 100%, ofreciendo 90 días a los responsables de la
aplicación para que encuentren una solución al problema. Esta versión para
navegadores Google Chrome y Mozilla Firefox permite a atacantes de forma
totalmente remota acceder a las contraseñas y realizar la ejecución remota de
código.
El experto en seguridad ha revelado
que han trabajado varios días en este exploit y que basta con dos líneas de
código para aprovechar el fallo de seguridad y sin que el usuario tenga que
intervenir en el proceso.
No es el único problema que han hecho frente
desde LastPass
- Junto con KeePass, es una de las herramientas más
utilizadas para almacenar contraseñas. Pero la seguridad es una asignatura
pendiente. Sin ir más lejos, en enero de este año se supone que la
aplicación no estaba cifrando todos los datos de los usuarios.
LastPass no está cifrando todos los datos de
sus usuarios
- Hace dos años, el servicio sufrió un hackeo y nunca
se supo cuál fue la información que quedó al descubierto
LastPass ha sido hackeado. ¿Qué debemos hacer?
- El camino de este servicio no está siendo fácil, y
una vez más queda demostrado que las tareas en lo que se refiere a materia
de seguridad no se han cumplido.
Los responsables del servicio ya están
trabajando en una solución
- Desde LastPass han salido al paso de estas
informaciones, confirmando la existencia de un problema de seguridad. Han
querido transmitir cierta tranquilidad, indicando que es complicado que se
explote. Han indicado que ya están trabajando en una solución que resuelva
este exploit que ha sido encontrado por los miembros de Project Zero.
- Teniendo en cuenta que el problema aparece cuando se
utiliza el software de gestión de contraseñas con los navegadores web de
Google y de Mozilla, una de las medidas que se pueden adoptar hasta que se
encuentre una solución puede ser la desactivación de LastPass. En el
momento que aparezca la nueva versión es recomendable actualizar. Como
hemos indicado, no solo esta versión estaría afectada, también todas las
anteriores publicadas del gestor de contraseñas.
Fuente: gHacks