LastPass: grave vulnerabilidad descubierta

Y solventada

Dani Castillo

Open

23 marzo 2017

LastPass es, por si no lo conoces, uno de los más famosos gestores de contraseñas que se pueden usar.

Como tal, dispone de extensiones para todos los navegadores mayoritarios, y su funcionamiento es la mar de sencillo:

Almacena las contraseñas de todos los sitios web a los que accedes de manera segura para que así sólo tengas que usar una contraseña master que validará el acceso al resto.

El problema ha surgido cuando un investigador de Google Project Zero, Tavis Ormandy, ha encontrado (nuevamente) fallos de seguridad en las extensiones de LastPass en sus versiones para Chrome y Firefox, aunque en versiones muy específicas de cada uno de los navegadores.

Una primera vulnerabilidad que permitía leer el contenido de la contraseña de un usuario, y la segunda y mucho más peligrosa, ejecutar código de todo tipo a través de LastPass.

Como ejemplo de esto, fue capaz de ejecutar la calculadora de Windows (calc.exe) directamente desde el binario del programa, como puedes ver más abajo.

Calc

Eso sí, igual que este investigador alertó de las vulnerabilidades, también ha felicitado al equipo de desarrollo de LastPass con la rapidez con la que lo han resuelto, y es que en menos de 24 horas había parche para las extensiones que resolvían este problema.

Lo deseable es que estas vulnerabilidades no existan pero como ya imaginarás, es imposible conseguir una seguridad del 100%. Por tanto, el que una empresa como LastPass se tome la seguridad tan en serio y actúe tan rápido, es digno de elogio.

Y tú, ¿usas algún gestor de contraseñas?

Te recuerdo que hace poco tuviste la oportunidad de conseguir Dashlane Premium, otro gestor de contraseñas, gracias al "Humble Software Bundle for PC Lovers".

Loading...