O LastPass é um dos serviços de alojamento de palavras passe mais usados na Internet. Com uma interface simples, consegue dar aos utilizadores a segurança necessária para terem os seus logins guardados e prontos a ser usados quando são necessários.
Mas este serviço tem duas falhas que agora foram descobertas, sendo simples de enganar e de levar a que as palavras passe sejam reveladas onde não devem.
Estas duas falhas são consideradas muito graves pois permitem que qualquer atacante possa obter os dados de acesso dos utilizadores a determinados serviços, levando assim a que exista uma perda de segurança.
Ambas as falhas foram identificadas e uma delas foi prontamente resolvida pela equipa do LastPass. A segunda ainda não está completamente tratada, estando a equipa responsável a trabalhar dela para a resolver tão depressa quanto possível.
Primeira falha LastPass: Identificação errada de sites
Esta primeira falha está na função que o LastPass usa para perceber em que site está. Ao consultar o endereço do browser, esta determina o site e fornece as credenciais, caso as tenha armazenadas.
Um investigador de segurança percebeu que esta função tem um erro e pode ser facilmente enganada para que pense estar noutro site e assim um atacante pode obter os dados, tudo graças ao preenchimento automático dos dados.
Esta falha foi já corrigida e a função de descoberta de sites melhorada para que seja impossível “enganá-la”.
Segunda falha LastPass: Serviço totalmente comprometido
Esta segunda falha foi descoberta por um elemento da equipa do Google Project Zero. Tavis Ormandy avaliou este serviço e detectou uma falha que compromete de forma total o LastPass, levando a que todas as palavras passe do utilizador sejam reveladas a um atacante.
A má notícia neste momento é que esta falha não foi ainda resolvida pela LastPass, estando a mesma a ser trabalhada. Por outro lado, e agora a parte positiva, é que apenas Tavis Ormandy e a equipa do LastPass conhecem a falha, o que a impede de ser explorada por atacantes mal intencionados.