Revelação da vulnerabilidade da extensão do navegador Lastpass: como se manter seguro

Um dos gerenciadores de senhas mais populares do LastPass está enfrentando sérios problemas com suas extensões de navegador, já que várias vulnerabilidades foram reveladas com o serviço durante a semana passada, e elas ainda persistem.

A tecnologia está sempre evoluindo, e embora seja para melhorar nosso estilo de vida, às vezes pode até ser prejudicial no caso de certos bugs serem explorados, especialmente quando se trata de um serviço como o LastPass, responsável pela proteção de dezenas de milhões de senhas.

Na semana passada, em 20 de março, Tavis Ormandy, pesquisador do Projeto Zero do Google, descobriu dois bugs nas extensões de navegador do LastPass, que tornavam os usuários vulneráveis ​​à execução remota de código.

As vulnerabilidades reveladas afetaram usuários comerciais e pessoais do serviço.

Vulnerabilidades Reveladas na Semana Passada?

20 de março: Tavis Ormandy encontra duas vulnerabilidades de Execução Remota de Código (RCE) que estavam afetando as extensões do navegador do LastPass - potencialmente permitindo que um invasor roubasse as senhas.

Oops, novo bug LastPass que afeta 4.1.42 (Chrome & FF). RCE se você usar o "componente binário", caso contrário, pode roubar pwds. Relatório completo sobre o caminho. pic.twitter.com/y92vm3Ibxd

- Tavis Ormandy (@taviso) 20 de março de 2017

21 de março: O LastPass confirma o relatório de Ormandy e confirma que as vulnerabilidades existem e sua equipe estará trabalhando para corrigi-las.

Estamos cientes do relatório do @taviso e nossa equipe implementou uma solução enquanto trabalhamos em uma resolução. Fique ligado para atualizações.

- LastPass (@LastPass) 21 de março de 2017

22 de março: A empresa anuncia que lançou novas versões das extensões de navegador do Chrome (v 4.1.43) e do Firefox (v 4.1.36) com atualizações de segurança em vigor.

Eles também mencionaram que nenhum dado foi comprometido entre este período e os usuários não precisam se preocupar em mudar suas credenciais. Versões atualizadas das extensões do navegador Microsoft Edge e Opera serão lançadas com a aprovação da empresa pendente.

25 de março: Tavis Ormandy descobre outra vulnerabilidade enfrentada pela versão atualizada da extensão do navegador Google Chrome (v 4.1.43). O LastPass reconhece a vulnerabilidade em uma atualização do anúncio de 22 de março.

Ah-ha, eu tive uma epifania no chuveiro esta manhã e percebi como obter o codeexec no LastPass 4.1.43. Relatório completo e explorar a caminho. pic.twitter.com/vQn20D9VCy

- Tavis Ormandy (@taviso) 25 de março de 2017

27 de março: O LastPass emitiu uma declaração: “Não estamos abordando ativamente a vulnerabilidade. Este ataque é único e altamente sofisticado. Não queremos revelar nada específico sobre a vulnerabilidade ou nossa correção que possa revelar algo a partes menos sofisticadas, mas nefandas. ”

Como se manter seguro?

Atualmente, o LastPass confirmou que está trabalhando para corrigir os problemas de segurança com o serviço deles e que uma correção completa pode ser esperada em breve. Enquanto isso, é recomendado que os usuários do LastPass atendam às seguintes precauções.

• Para proteger suas credenciais de login, recomenda-se que os usuários desativem as extensões do navegador e iniciem websites diretamente do LastPass Vault até que as vulnerabilidades sejam resolvidas pela empresa.
• Ative a autenticação de dois fatores para todas as contas que oferecem a opção, oferecendo à sua conta uma camada adicional de segurança, caso a vulnerabilidade seja explorada por um invasor.
• Fique atento a ataques de phishing. Não clique em links de fontes não confiáveis ​​- pessoas que você não conhece

Procurando alternativas para o LastPass? Confira as 3 principais alternativas aqui.