Tavis Ormandy, noto ricercatore del team Google Project Zero, ha scoperto un bug di sicurezza nel noto password manager LastPass che potrebbe essere utilizzato da parte di utenti malintenzionati per indirizzare le vittime verso un sito web gestito dagli stessi criminali informatici e sottrarre le altrui credenziali di accesso.
Secondo Ormandy il bug non è affatto complicato da sfruttare tanto che per dimostrarlo, dopo la risoluzione del problema da parte di LastPass, il ricercatore ha pubblicato il semplice codice JavaScript che un aggressore potrebbe adoperare.
Ormandy spiega che un aggressore potrebbe facilmente nascondere una pagina malevola dietro un URL Google Translate (pratica peraltro piuttosto diffusa tra i criminali informatici) e sfruttarla per estrarre le credenziali di accesso da un sito web visitato in precedenza.
LastPass si è subito attivata per risolvere il problema confermando che interessati sono gli utenti di Chrome e Opera: l’importante, come confermato a questo indirizzo, è che gli utenti installino quanto prima la versione 4.33.0 del pacchetto e si accertino che le estensioni per i browser siano aggiornate.
Va detto che i password manager come LastPass sono molto più sicuri rispetto a quelli integrati nei browser web. Tra l’altro proprio quest’estate LastPass ha risposto “picche” a una richiesta proveniente dalle autorità statunitensi (in questo caso la DEA, US Drug Enforcement Administration) confermando che i dati degli utenti sono inaccessibili pure agli amministratori della piattaforma.
Nell’articolo Password manager, quanto sono davvero sicuri avevamo parlato di una comparativa sul tema della sicurezza tra i vari prodotti disponibili sul mercato.
A chi non andassero a genio i servizi cloud per la gestione delle password, suggeriamo di orientarsi su un’applicazione come KeePass: KeePass, nuova versione di uno dei password manager più famosi ed efficaci.