LastPass vulnerabile ad attacchi. Password a rischio

Mar 22, 2017 Marco Schiaffino News, RSS, Vulnerabilità 0

Il Google Project Zero segnala falle di sicurezza nel password manager. A rischio gli utenti che usano le estensioni per Chrome e Firefox.

LastPass è uno dei password manager più diffusi e apprezzati. Il suo compito è quello di offrire un sistema di memorizzazione sicuro delle credenziali di accesso a tutti i servizi Internet, che possono essere richiamati facilmente attraverso una “master password”.

Naturalmente LastPass, disponibile come estensione per tutti i principali browser, integra un sistema di crittografia “a prova di bomba” per la protezione delle credenziali.

Peccato che il servizio abbia alcune vulnerabilità che consentirebbero ai cyber-criminali di mettere le mani sui dati memorizzati semplicemente attraverso l’esecuzione di un Javascript che può essere facilmente incorporato in una pagina Web.

La segnalazione arriva, ancora una volta, dal ricercatore del Project Zero Team di Google Tavis Ormandy e pesa come un macigno su chi ha scelto di affidare a LastPass la gestione delle sue password.

Come spiega Ormandy in un post, la vulnerabilità che affligge l’estensione per Chrome consente di sottrarre le credenziali memorizzate e, nel caso in cui l’utente abbia installato il binary di LastPass, avviare anche un’esecuzione di codice in remoto.

L’installazione del binary per l’estensione di Chrome è stata introdotta per integrare alcune funzioni avanzate nel servizio e non è necessariamente presente in tutte le installazioni.

Secondo Ormandy, però, la sua installazione potrebbe essere forzata proprio attraverso la falla da lui individuata e, di conseguenza, anche chi non ha il componente binario installato correrebbe lo stesso rischio di chi lo ha.

Si può verificare la presenza del componente binario visualizzando le informazioni rigiradanti l’estensione di LastPass per Chrome. L’assenza del componente binario, però, non è condizione sufficiente per considerarsi al riparo da attacchi.

L’elemento preoccupante è la facilità con cui può essere sfruttato l’exploit: tutto quello che serve perché il processo si avvii è che la vittima si colleghi a un sito Internet che contiene due righe di codice Javascript:

win = window.open(“https://1min-ui-prod.service.lastpass.com/”);

win.postMessage({}, “*”);

Stando a un tweet postato ieri dagli sviluppatori del password manager, la vulnerabilità sarebbe stata eliminata attraverso l’ultimo aggiornamento dell’estensione per il browser targato Google. L’aggiornamento dovrebbe avvenire automaticamente per tutti gli utenti.

L’estensione per Chrome, però, non è l’unica a soffrire di un bug. Anche quella dedicata a Firefox avrebbe un problema simile, che consentirebbe a un cyber-criminale di violare il password manager semplicemente attirando la sua vittima su un sito Web.

Il bug riguarda la versione 3.3.32 dell’estensione, il cui ritiro in realtà è stato annunciato dagli sviluppatori di LastPass lo scorso 10 marzo. Il problema è che, stando a quanto riportato nello stesso post che ne annuncia il ritiro, la procedura non è così semplice: il ritiro dell’estensione sarà sottoposta all’approvazione di Mozilla solo il prossimo 31 marzo.

Le cose, però, sembrano non andare molto bene anche per le versioni più recenti di LastPass per Firefox. Lo stesso Ormandy, infatti, ha annunciato la presenza di un’ulteriore falla (sigh!) che riguarda sempre la versione per il browser Mozilla. Anche in questo caso il bug consentirebbe, se sfruttato, di sottrarre le credenziali di accesso ai siti.

Condividi l'articolo