LastPass soluciona un fallo de seguridad que permitía robar la contraseña de la última web visitada

Logotipo de Lastpass
Logotipo de Lastpass - LASTPASS - Archivo
Publicado 16/09/2019 16:15:32CET

   MADRID, 16 Sep. (Portaltic/EP) -

   El popular gestor de contraseñas LastPass ha solucionado una vulnerabilidad que se encontraba en su mecanismo de registro y que exponía y permitía robar las claves de la última página web que había visitado el usuario.

   El fallo de seguridad fue descubierto originalmente en el mes de agosto por el investigador de seguridad Tavis Ormandy, del equipo de expertos especializado en vulnerabilidades Google Project Zero, que fue capaz de esbozar un 'exploit' para aprovecharse de esta vulnerabilidad utilizando solamente 'scripts' de Java.

   Debido al sistema de registro que utilizaban las pestañas autenticadas con el gestor de LastPass, los últimos datos caché siempre quedaban guardados, de manera que podían filtrarse las credenciales del último sitio web que hubiera visitado el usuario.

   Para extraer esta información, simplemente era necesario pulsar en el botón de ajustes de LastPass, y la consola de código mostraba las credenciales, aunque para ello era necesario utilizar mecanismos adicionales como copiarlo en el Traductor de Google para evitar las protecciones de LastPass contra páginas que no son de confianza.

   A pesar de que los mecanismos para explotar este problema de seguridad podían no funcionar siempre para todas las URLs, según ha advertido su descubridor se trata de una vulnerabilidad de "severidad alta".

   LastPass ha parcheado el fallo la semana pasada en su versión v4.33 para los navegadores Chrome, Firefox, Safari, Edge, Internet Explorer y Opera, como ha confirmado también el propio Tavis Ormandy en su entrada en Chromium.