LastPass, un bug mette gli utenti a rischio phishing

Considerando la gran quantità di servizi digitali che ogni utente si ritrova ormai a dove gestire avere a propria disposizione un password manager può essere indubbiamente molto utile. Chiaramente il discorso risulta valido solo ed esclusivamente nel caso in cui la risorsa sfruttata non sia vulnerabile e qualora riesca a garantire un elevato grado di sicurezza.

A tal proposito gli utenti di LastPass di sicuro non saranno esattamente felici di sapere che a novembre è stato scoperto un bug nel ben noto ed ampiamente diffuso gestore di password che può essere sfruttato per eseguire attacchi di phishing e per rubare tutte le credenziali di accesso.

Nel dettaglio, nel corso della conferenza hacker ShmooCon, organizzata a Washington D.C., il ricercatore Sean Cassidy ha mostrato come l’utente possa essere indotto a digitare la master password quando il browser visualizza un pop-up identico a quello dell’estensione LastPass per Google Chrome. L’utente malcapitato non nota alcuna differenza ma va a “porgere l’altra guancia” al cybercriminale permettendogli di ottenere le password di tutti i suoi servizi online. L’attacco si verifica poi se l’utente viene convinto a visitare un sito infetto oppure se un sito affidabile risulta vulnerabile.

Andando ancor più nello specifico, il codice JavaScript genera una notifica che segnala la fine della sessione. L’utente effettua quindi il login ma i dati vengono trasmessi al server controllato da remoto. Il server verifica se le credenziali sono corrette chiamando le API pubbliche di LastPass ed eventualmente chiede anche il codice dell’autenticazione in due passaggi. A questo punto, tutta la vita digitale dell’utente finisce nelle mani del cybercriminale.

Il bug in oggetto, è bene sottolinearlo, risulta al momento già risolto ragion per cui attualmente è possibile sfruttare LastPass senza timore.

[Photo Credits | Vdovichenko Denis / Shutterstock.com]

Via | gHacks Technology News