Una falla nella sicurezza di LastPass esponeva le credenziali degli utenti a possibili furti. Un ricercatore di Google l'ha scoperta ed è già disponibile un aggiornamento da scaricare e installare subito. Nessun criminale informatico ha fatto in tempo a sfruttarla.
LastPass, la popolare applicazione di generazione e gestione delle password, era affetta da una falla nella sicurezza che esponeva le credenziali immesse in un sito precedentemente visitato. La falla era attiva solo sulle estensioni dei browser Chrome e Opera. L’azienda ha ricevuto la segnalazione del bug da un ricercatore per la sicurezza e ha subito provveduto a pubblicare la soluzione. A tutti gli utenti è consigliato di aggiornare l’applicazione all’ultima versione, dopodiché non ci saranno più problemi di sicurezza.
Quanto accaduto fa notizia perché LastPass è l’app più popolare per la gestione delle password. Quello registrato è un incidente che può capitare, perché come qualsiasi altra applicazione, anche i gestori di password sono talvolta vulnerabili ai bug. L’importante è questi ultimi venga tempestivamente corretti, com’è accaduto stavolta. Merito anche di Tavis Ormandy, ricercatore di sicurezza in Google Project Zero.
Ormandy ha agito come da manuale: ha scovato la falla, l’ha comunicata solo all’azienda produttrice e le ha dato il tempo per pubblicare una correzione. Solo dopo la sua pubblicazione il ricercatore ha svelato al pubblico i dettagli della falla e come un hacker avrebbe potuto usarla. Ecco perché all’indomani della disponibilità dell’aggiornamento è tassativo installarlo: ora gli hacker sanno dell’esistenza di un bug e come fare a usarlo.
In termini semplici, il bug si basa sull’esecuzione di codice JavaScript che si attiva da solo, senza bisogno dell’interazione dell’utente. La falla è considerata pericolosa e potenzialmente sfruttabile. Una volta attirati gli utenti su una pagina infetta, gli hacker possono estrarre le credenziali immesse dagli utenti su siti precedentemente visitati. Ormandy reputa che il meccanismo diabolico sia si facile attuazione, perché è semplice nascondere un link dannoso dietro un URL di Google Translate, ad esempio.
Al momento non risulta che questa falla sia stata sfruttata, e se tutti i clienti LastPass installeranno l’aggiornamento più recente non ci sarà motivo di preoccuparsi.
Quanto accaduto non deve distogliere gli utenti dalla buona abitudine di affidarsi a un gestore di password per impostare password sicure e diverse per ogni app, sito o servizio di cui fanno uso. Ricordarsi decine di stringhe alfanumeriche diverse, di una dozzina di caratteri ciascuna, è difficile, usare la stessa password per tutto è letale, lasciare le password archiviate all’interno di un browser (da cui possono essere facilmente estratte con strumenti forensi e malware) è anche peggio. I gestori di password sono efficienti e più sicuri delle soluzioni fai-da-te, nonostante il rischio di bug.