La aplicación LastPass es una herramienta muy útil para poder centralizar las contraseñas que se utilizan en diferentes desarrollos o páginas web que utilizan seguridad. Además, desde hace un tiempo este desarrollo es gratuito y son muchos más los usuarios que han decidido darle uso. Pues bien, parece que la seguridad del servicio está comprometida.
Esto es lo que ha indicado Sean Cassidy, un investigador de seguridad que dice haber encontrado un agujero en LastPass. Y, este, no sería precisamente menos ya que incluso permitiría que si un atacante lo utiliza se puedan conocer las contraseñas maestras de los usuarios, lo que les daría acceso directo todas las que este tiene almacenadas en el propios servicio. Nada más y nada menos.
Según Cassidy, al fallo de seguridad que ha encontrado en LastPass ocurre cuando un usuario que está utilizando el servicio da uso a este tanto tiempo que, al entrar en reposo, la sesión abierta expira. En este momento se añade un notificación en la página de contenidos que se está visitando, lo que es algo sorprendente, por lo que expone la seguridad de forma clara si se realiza un ataque tipo phishing (mediante el uso de ventanas emergentes o falsos mensajes de inicio de sesión).
Herramienta de creación propia
Conociendo esta información, el investigador ha creado un aplicación -funcional en el navegador Chrome por el momento, pero es posible que lo haga en otros como Firefox- con la que ha automatizado procesos que, con la redirección correspondiente, se pone en riesgo la mencionada contraseña maestra en LastPass mediante ataques XSS. El caso, es que si el usuario introduce de nuevo este dato una vez que se ha infectado, el hacker puede conseguir la información necesaria para que los datos sean robados -ya que se transfieren a un servidor-. Es decir, que no es un proceso especialmente complicado y, además, tampoco es muy innovador.
El investigador ha informado a la propia LastPass, que se habría puesto manos a la obra para solucionar lo que ocurre, ya que la seguridad es su razón de ser y este tipo de agujeros no son precisamente positivos. De todas formas, lo usuarios por el momento lo que tiene que hacer es no utilizar páginas de total confianza -y a las que llega por una redirección-. De esta forma, se aporta una protección adicional y, si se tiene que acceder de nuevo a LastPass, lo recomendables es hacerlo siempre desde la página web original.