Por lo que se puede apreciar en los tweets publicados por Travis Ormandi, parece que el investigador se ha quedado a cuadros al ponerse a investigar LastPass y haber encontrado una cantidad importante de problemas de seguridad. Después de terminar su investigación, decidió enviar el informe completo a los encargados del gestor de contraseñas para que se pusiesen manos a la obra y empezasen a corregir los problemas encontrados.

Además de los descubrimientos realizados por Project Zero de Google, el investigador en seguridad Mathias Karlsson también ha anunciado que ha descubierto problemas en el propio LastPass, aunque estos ya han sido resueltos. Karlsson descubrió que podía hackear una cuenta de LastPass con tan solo utilizar una URL específicamente diseñada, pudiendo robar todas las contraseñas de la caja fuerte. Esta vulnerabilidad estaba presente en la función de autocompletado de la extensión de LastPass para navegadores, permitiendo que una expresión regular defectuosa para analizar una URL le diese al atacante la oportunidad de falsificar el dominio de destino. Tras descubrir esta vulnerabilidad, Karlsson fue recompensado con mil dólares. La URL maliciosa tendría un formato como el siguiente:

http://avlidienbrunn.se/@twitter.com/@hehe.php

Travis Ormandi ha dicho que se pondrá manos a la obra para analizar otros gestores de contraseñas populares como Enpass, KeePass, PasswordState, Dashlane y 1Password. Por otro lado, LastPass ya ha publicado las nuevas versiones de sus extensiones y aplicaciones que corrigen las vulnerabilidades descubiertas recientemente.

Si manejas una gran cantidad de contraseñas posiblemente te convenga usar un gestor. Para saber cuál es el que más te conviene, puedes visitar el especial que publicaron nuestros compañeros de MuyComputer.

 

Fuente: The Hacker News | muyseguridad