Conecta con nosotros

Noticias

Descubren problemas críticos evidentes en LastPass

Publicado el

Descubren problemas críticos evidentes en LastPass

Descubren problemas críticos evidentes en LastPass

Tavis Ormandy, el conocido investigador de Project Zero de Google, ha descubierto una serie de “problemas críticos evidentes” en LastPass, posiblemente el gestor de contraseñas online más conocido y usado del mundo. Entre los “problemas” encontrados también se ha hallado una vulnerabilidad 0-Day.

MS Recomienda

Aprende a realizar streaming de vídeo de forma eficaz Leer
Estudio "La virtualización en las empresas españolas" ¡Descárgate el informe!
Gestiona los dispositivos de tu empresa de forma inteligente Leer

Por lo que se puede apreciar en los tweets publicados por Tavis Ormandy, parece que el investigador se ha quedado a cuadros al ponerse a investigar LastPass y haber encontrado una cantidad importante de problemas de seguridad. Después de terminar su investigación, decidió enviar el informe completo a los encargados del gestor de contraseñas para que se pusiesen manos a la obra y empezasen a corregir los problemas encontrados.

Además de los descubrimientos realizados por Project Zero de Google, el investigador en seguridad Mathias Karlsson también ha anunciado que ha descubierto problemas en el propio LastPass, aunque estos ya han sido resueltos. Karlsson descubrió que podía hackear una cuenta de LastPass con tan solo utilizar una URL específicamente diseñada, pudiendo robar todas las contraseñas de la caja fuerte. Esta vulnerabilidad estaba presente en la función de autocompletado de la extensión de LastPass para navegadores, permitiendo que una expresión regular defectuosa para analizar una URL le diese al atacante la oportunidad de falsificar el dominio de destino. Tras descubrir esta vulnerabilidad, Karlsson fue recompensado con mil dólares. La URL maliciosa tendría un formato como el siguiente:

http://avlidienbrunn.se/@twitter.com/@hehe.php

Tavis Ormandy ha dicho que se pondrá manos a la obra para analizar otros gestores de contraseñas populares como Enpass, KeePass, PasswordState, Dashlane y 1Password. Por otro lado, LastPass ya ha publicado las nuevas versiones de sus extensiones y aplicaciones que corrigen las vulnerabilidades descubiertas recientemente.

Si manejas una gran cantidad de contraseñas posiblemente te convenga usar un gestor. Para saber cuál es el que más te conviene, puedes visitar el especial que publicaron nuestros compañeros de MuyComputer.

Fuente | The Hacker News

Lo más leído