Rivelata la vulnerabilità dell'estensione del browser Lastpass: come rimanere al sicuro

Uno dei più popolari gestori di password LastPass sta affrontando gravi problemi con le sue estensioni del browser poiché sono state rilevate più vulnerabilità con il servizio la scorsa settimana e continuano a persistere.

La tecnologia è in continua evoluzione e, sebbene abbia lo scopo di migliorare il nostro stile di vita, a volte può persino essere dannosa nel caso in cui vengano sfruttati alcuni bug, soprattutto quando si tratta di un servizio come LastPass, che è responsabile della salvaguardia di decine di milioni di password.

La scorsa settimana, il 20 marzo, Tavis Ormandy, un ricercatore del Project Zero di Google, ha scoperto due bug nelle estensioni del browser di LastPass che hanno reso gli utenti vulnerabili all'esecuzione di codice in modalità remota.

Le vulnerabilità rivelate hanno interessato sia gli utenti aziendali che gli utenti personali del servizio.

Vulnerabilità rivelate nell'ultima settimana?

20 marzo: Tavis Ormandy rileva due vulnerabilità di Remote Code Execution (RCE) che interessano le estensioni del browser di LastPass, consentendo potenzialmente a un utente malintenzionato di rubare le password.

Spiacenti, nuovo bug LastPass che interessa 4.1.42 (Chrome e FF). RCE se si utilizza il "Componente binario", altrimenti può rubare pwds. Rapporto completo sulla strada. pic.twitter.com/y92vm3Ibxd

- Tavis Ormandy (@taviso) 20 marzo 2017

21 marzo: LastPass riconosce il rapporto di Ormandy e conferma l'esistenza delle vulnerabilità e il loro team lavorerà per risolverle.

Siamo a conoscenza del rapporto di @taviso e il nostro team ha messo in atto una soluzione alternativa mentre lavoriamo su una risoluzione. Resta sintonizzato per gli aggiornamenti.

- LastPass (@LastPass) 21 marzo 2017

22 marzo: la società annuncia di aver rilasciato nuove versioni di Chrome (v 4.1.43) e Firefox (v 4.1.36) estensioni del browser con aggiornamenti di sicurezza in atto.

Hanno anche affermato che nessun dato è stato compromesso tra questo periodo e che gli utenti non devono preoccuparsi di modificare le proprie credenziali. Versioni aggiornate delle estensioni del browser Microsoft Edge e Opera verranno rilasciate in attesa dell'approvazione dell'azienda.

25 marzo: Tavis Ormandy scopre un'altra vulnerabilità affrontata dalla versione aggiornata dell'estensione del browser Google Chrome (v 4.1.43). LastPass riconosce la vulnerabilità in un aggiornamento del loro annuncio del 22 marzo.

Ah-ah, stamattina ho avuto un'epifania sotto la doccia e ho capito come ottenere codeexec in LastPass 4.1.43. Rapporto completo e exploit sulla strada. pic.twitter.com/vQn20D9VCy

- Tavis Ormandy (@taviso) 25 marzo 2017

27 marzo: LastPass ha rilasciato una dichiarazione, "Non stiamo affrontando attivamente la vulnerabilità. Questo attacco è unico e altamente sofisticato. Non vogliamo rivelare nulla di specifico sulla vulnerabilità o sulla nostra correzione che potrebbe rivelare qualcosa a parti meno sofisticate ma nefaste."

Come stare al sicuro?

Attualmente, LastPass ha confermato che sta funzionando per risolvere i problemi di sicurezza con il loro servizio e ci si aspetta presto una soluzione completa. Nel frattempo, si consiglia agli utenti di LastPass di prestare attenzione alle seguenti precauzioni.

• Per salvaguardare le proprie credenziali di accesso, si consiglia agli utenti di disabilitare nel frattempo le estensioni del browser e di avviare i siti Web direttamente da LastPass Vault fino a quando le vulnerabilità non vengono risolte dalla società.
• Attiva l'autenticazione a due fattori per tutti gli account che offrono l'opzione, fornendo al tuo account un ulteriore livello di sicurezza nel caso in cui la vulnerabilità venga sfruttata da un utente malintenzionato.
• Fai attenzione agli attacchi di phishing. Non fare clic sui collegamenti da fonti non attendibili - persone che non conosci

Cerchi alternative a LastPass? Dai un'occhiata alle 3 migliori alternative qui.