Muitos usuários usam um gestor de senhas para facilitar a sua vida online. O problema é quando essa solução apresenta problemas. O LastPass, um conhecido gestor de senhas, tinha uma falha de segurança que permitia roubar as senhas dos usuários.
Casa de ferreiro, espeto de pau
A falha – potencialmente grave – deixava exposta as senhas que foram utilizadas pela última vez a partir da extensão do LastPass para o navegador. O problema foi localizado por um investigador do Google Project Zero no dia 30 de agosto, em uma falha que tecnicamente se denomina clickjacking.
LastPass could leak the last used credentials due to a cache not being updated. This was because you can bypass the tab credential cache being populated by including the login form in an unexpected way! https://t.co/bfLdDzSWS5
— Tavis Ormandy (@taviso) September 16, 2019
Basicamente, a falha engana o usuário para obter informações confidenciais, ou para assumir o controle do seu equipamento. O LastPass reconheceu o erro, mas indicam que o usuário teria que realizar uma série de ações para ficar exposto à falha: completar uma senha via LastPass, visitar um site que está comprometido e clicar na página de fraude em várias ocasiões.
Os usuários afetados são exclusivamente aqueles que usam os navegadores Chrome e Opera. Para corrigir o problema, o LastPass atualizou o seu plugin para estes navegadores. Se você usa o plugin e esses navegadores, atualize agora para a nova versão do plugin (4.33.0) para Chrome e Opera. E apesar do Firefox não ser afetado pelo problema, vale a pena atualizá-lo para a versão 4.33.4.2.
Como é executada a falha do LastPass
A falha detectada pelo LastPass pode ser explorada pela execução de um código malicioso do JavaScript, que pode ser incrustado em qualquer site, camuflado inclusive em uma URL do Google Translator. Se o usuário for enganado e acessar o link, o atacante pode ficar com as senhas que esse usuário digitou antes.
O que você deve fazer se tem o LastPass instalado?
Antes de qualquer coisa, atualize a extensão instalada no seu navegador, com o número da versão que indicamos acima. Essa versão contém a correção para a vulnerabilidade detectada. Leve em consideração que gestores de senhas ainda são muito úteis para a sua vida online.
Porém, é vital você usar um passo adicional de segurança, que é não usar a mesma senha para todos os seus serviços online, além de habilitar a autenticação em dois passos para garantir que toda a sua vida online não fique em risco em caso de vazamentos de dados em massa.
Via Chromium.org, ZDNet