Vulnerabilidades Descobertas no Aplicativo LastPass podem Comprometer Senhas
Neste verão, especialistas em segurança de PC alertaram sobre possíveis pontos fracos nos serviços de gerenciamento de identidades. A ocasião específica foi um novo problema de segurança com o LastPass, descoberto por um pesquisador do Google Project Zero, aumentando a memória de um bug anterior detectado no mesmo gerenciador de senhas cerca de um ano antes. Infelizmente, a questão geral de quão seguros esses aplicativos que oferecem para armazenar dados pessoais confidenciais ainda permanece.
O pesquisador Tavis Ormandy, do Google Project Zero, conseguiu invadir o LastPass em julho deste ano. O bug que ele relatou já foi corrigido pela equipe do LastPass, onde afetava apenas o complemento Mozilla Firefox. O problema foi descrito no blog LastPass como um "bug de seqüestro de mensagens" que pode executar determinadas ações em segundo plano. Aparentemente, era um problema grave que poderia comprometer completamente os dados dos usuários, mas exigia que o usuário visitasse um site mal-intencionado.
Um problema semelhante foi descoberto no ano passado por Mathias Karlsson, que trabalha para o serviço de segurança na web Detectify. Karlsson decidiu verificar a confiabilidade do LastPass e pesquisou possíveis vulnerabilidades na compilação do aplicativo. Ao simular um ataque automatizado de hackers, o pesquisador encontrou um problema grave que poderia levar a que as senhas dos usuários vazassem e chegassem às mãos dos hackers de chapéu preto.
O LastPass é adicionado como uma extensão aos navegadores que armazenam as senhas para todas as contas de usuários e permitem acesso a elas através de uma única senha mestra. Os perigos vieram do código de análise de URLs que o LastPass emprega, além de sua função de preenchimento automático. O LastPass adiciona um código HTML a cada URL que o usuário visita, reconhece o domínio e preenche automaticamente os detalhes dos usuários no formulário de login. O LastPass é conveniente para os usuários, no entanto, o risco em potencial de comprometer sua senha é bastante alto.
De acordo com Karlsson, o código de análise "var fixedURL = URL.match(/^(.*:\/\/[^\/]+\/.*)@/);
fixedURL && (url = url.substring(0, fixedURL[1].length) + url.substring(fixedURL[1].length).replace(/@/g, "%40"))", que LastPass usa para descubra qual domínio o navegador está carregando no momento, com um bug grave, permitindo que hackers criem URLs que enganem o sistema e façam com que as credenciais dos usuários passem despercebidas aos usuários e à equipe de segurança do LastPass. como "attacker-site.com/@twitter.com/@script.php", a extensão LastPass reconheceria apenas a última ocorrência de "@". Nesse caso, ele pensaria que o usuário está no domínio twitter.com e, respectivamente, preenchem as credenciais do usuário no formulário de logon. Em seguida, os invasores podem extrair os dados dos campos de logon executando um código JavaScript no site.
Mesmo que o problema de segurança inicial tenha sido rapidamente resolvido pela equipe do LastPass, ainda é necessário cuidado com os usuários de PC que usam o aplicativo. No entanto, os hackers precisariam usar a engenharia social para levar o usuário ao site, portanto, não clicar em links questionáveis poderia salvar seus dados. Além disso, desabilitar a funcionalidade de preenchimento automático teria evitado os perigos decorrentes do bug no LastPass que Mathias Karlsson descobriu. Há também a opção de autenticação multifator, que requer outra etapa de verificação em um dispositivo diferente antes de permitir o acesso à conta.
Embora os serviços de gerenciamento de senhas não sejam 100% seguros, eles ainda parecem ser a melhor opção em comparação com o outro método popular de lidar com senhas, ou seja, usar apenas uma senha para todas as contas. Obviamente, isso só é válido se os usuários estiverem cientes dos vários tipos de ataques de phishing e se utilizarem senhas únicas e fortes para cada uma de suas contas online. A força da senha é medida em bits, pelos quais os especialistas em segurança do PC afirmam que uma senha de 80 bits com 12 símbolos, números, letras maiúsculas e minúsculas diferentes oferece um nível de proteção substancial e aceitável .