El investigador de seguridad Sean Cassidy ha descubierto un agujero de seguridad en el conocido servicio de administración de contraseñas LastPass que permitiría a los posibles atacantes acceder a la contraseña maestra de los usuarios.
Cassidy descubrió que cada vez que las sesiones de LastPass expiran mientras el usuario está navegando por la web, el propio portal lo anuncia por medio de notificaciones que «inyecta» en una página de contenidos. Por lo tanto en términos de seguridad este es un fallo importante, ya que expone a los usuarios a diversos ataques similares a los habituales ataques de phishing que se llevan a cabo cuando accedemos a portales bancarios. Cuando comenzó a investigar en profundidad esta debilidad, descubrió que los atacantes podrían utilizar estas notificaciones de LastPass para mostrar a los usuarios falsos mensajes de inicio de sesión y pop-ups dentro de una web.
De este modo el investigador ha desarrollado una herramienta llamada llamada LostPass con el fin de automatizar un ataque de phishing contra las personas registradas en LastPass y de este modo acceder a sus contraseñas maestras. Según las pruebas realizadas, lo único que los atacantes tendrían que hacer es redirigir a los clientes del servicio a un sitio web legítimo y vulnerable a ataques XSS. De este modo, una vez se ha redirigido a la víctima, la herramienta LostPass utilizará el agujero de seguridad de esa web para realizar el ataque XSS y detectar si el usuario ha instalado LastPass en su ordenador, en caso afirmativo le pedirá desde esa web y a través de una notificación como las que emplea LastPass, que inicie sesión de nuevo en su cuenta ya que la misma ha expirado.
Una vez que el usuario pulsa sobre la notificación, aparece una página de inicio de sesión muy similar a la de LastPass original y cuando introduce sus credenciales, estas son transferidas al servidor del atacante. Además el mismo atacante puede incluso comprobar estas credenciales en la misma API de LastPass para verificar su exactitud. Si todo lo tecleado es correcto, el posible atacante accederá a los datos de la cuenta del usuario incluyendo la contraseña general que utiliza en este servicio.
Parece ser que la herramienta LostPass sólo funciona en Chrome, ya que el resto de navegadores muestran las pantallas de inicio de sesión a través de pop-ups de LastPass específicos para cada uno, aunque se está trabajando en un proyecto experimental para Firefox.
Evidentemente Sean Cassidy ha informado de todo ello a LastPass y ya están intentado solucionar el problema, aunque consideran que más que un fallo del portal, es un ataque phishing en toda regla. Aunque los usuarios de este servicio ya han sido advertidos, Cassidy los recomienda que no introduzcan sus credenciales en un navegador, sino que usen la aplicación original para autenticarse de nuevo.
Quizá también te interese:
Las amenazas de seguridad que nos acechan de cara a 2016
Uno de los cifrados de seguridad más usados en Internet pone en riesgo tus compras online