LastPass se mostra vulnerável a ataques

lastpassOs sistema de protecção de passwords da LastPass pode revelar dados de autenticação se sujeito a determinado ataque revelado pelos CFO da Praesidio, Sean Cassidy, na conferência Shmoocon durante o último Sábado. O esquema é relativamente simples.

As notificações exibidas pela versão 4.0 da LastPass versão 4.0 nas janelas de browser podem ser falsificadas, levando as pessoas a revelarem os seus dados de autenticação. Os atacantes podem mesmo aceder à password central para aqueles dados, de acordo com o responsável.

Cassidy já notificou a LastPass e numa mensagem de blog, a empresa disse já ter realizado melhorias que deverão dificultar a execução do roubo sem que o utilizador saiba. O responsável disponibilizou uma ferramenta no GitHub, chamada LostPass, que mostra como um intruso poderá falsificar alertas do LastPass e eventualmente, enganar o utilizador de modo a este revelar os dados de autenticação.

Numa entrada de blog, o CFO Cassidy explica como a empresa alerta os utilizadores quando estes são desligados da aplicação. Mas o aviso é mostrado através de uma janela do browser e o mesmo alerta pode ser criado e desencadeado por um atacante, atraindo a vítima para um site nocivo.

Para a prova de conceito do seu ataque, o responsável comprou o “chrome-extension.pw”. No caso de haver uma ofensiva e a autenticação de dois factores estiver activada, o “token” de acesso também pode ser roubado.

Nessa situação, todas as senhas da vítima podiam ser recolhidas usando a API do LastPass diz Cassidy.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: ComputerWorld

Os comentários estão desativados.

%d blogueiros gostam disto: