El administrador de contraseñas LastPass, lanzó una actualización la semana pasada para corregir un error de seguridad que expone las credenciales ingresadas en un sitio visitado anteriormente. El error fue descubierto el mes pasado por un investigador de seguridad.
LastPass resolvió el problema informado en la versión 4.33.0 del 12 de septiembre. Aunque LastPass indica que la actualización debe aplicarse automáticamente, es recomendable para los usuarios que se aseguren de estar utilizando la versión más reciente de la extensión del servicio del navegador, especialmente si está utilizando un navegador que permite desactivar las actualizaciones.
En una publicación de blog, Ferenc Kun del equipo de seguridad de LastPass dijo:
“Nuestro equipo recientemente investigó y solucionó un error que afectaba a algunas extensiones de LastPass. Un investigador de seguridad en su informe reveló un conjunto limitado de circunstancias en extensiones de navegador específicas que podrían permitir a un atacante crear un escenario de desvío de clics.
“Para explotar este error, un usuario de LastPass debe realizar una serie de acciones, que incluyen completar una contraseña con el ícono de LastPass, luego visitar un sitio comprometido o malicioso y finalmente tener que hacer clic varias veces en la página.
Esta hazaña puede dar como resultado que las últimas credenciales del sitio que LastPass complete se expongan. Trabajamos rápidamente en el desarrollo de un parche y verificamos que la solución estaba completa con Tavis “.
El informe de error del investigador de seguridad explica los pasos necesarios para reproducir el error. Debido a que el error se basa en ejecutar solo código JavaScript malicioso, sin ninguna otra interacción del usuario, el error se considera peligroso y potencialmente explotable.
Los hackers podrían atraer a los usuarios a páginas maliciosas y aprovechar esta vulnerabilidad para extraer las credenciales ingresadas por los usuarios en los sitios visitados anteriormente.
Ya que no es tan difícil como parece, porque un atacante podría ocultar fácilmente un enlace malicioso detrás de una URL hacer que los usuarios vean el enlace y extraer las credenciales de la URL de un sitio visitado anteriormente.
Además, aunque cualquier exposición potencial debido al error se limita a navegadores específicos (Chrome y Opera), hemos implementado, como medida de precaución en todos los navegadores
A pesar de este error, usar un administrador de contraseñas es una excelente manera de proteger la seguridad en línea.
La existencia del error destaca el hecho de que los administradores de contraseñas, como cualquier servicio en línea, aún pueden estar expuestos a problemas de seguridad. Al facilitar la creación y el almacenamiento de una contraseña única para cada cuenta, los administradores de contraseñas proporcionan una alternativa crítica para reutilizar contraseñas.
Los administradores de contraseñas también facilitan el uso de contraseñas seguras porque los usuarios no necesitan recordarlas.
Incluso si la violación del sitio web filtra las contraseñas de texto sin formato, el administrador de contraseñas se asegura de que solo una cuenta esté comprometida (en caso de que las contraseñas del los usuarios son específicos de cada sitio donde tienen una cuenta).
La desventaja de los administradores de contraseñas es que si fallan, los resultados pueden ser graves. No es raro que algunas personas utilicen administradores de contraseñas para almacenar muchas contraseñas, algunas para cuentas bancarias, otras para cuentas de correo electrónico, etc.
Por lo tanto, es una buena idea agregar autenticación de dos factores a todos los sitios que los admiten, así como utilizar contraseñas seguras únicas que nunca reutilizará entre servicios.
¿Como instalar LastPass en Ubuntu y derivados?
Para quienes estén interesados en poder instalar la ultima versión de este gestor de contraseñas en su sistema, podrán hacerlo siguiendo las instrucciones que compartimos a continuación.
Lo primero que vamos a hacer es abrir una terminal (lo pueden hacer con la combinación de teclas Ctrl + Alt + T) y sobre ella vamos a ejecutar el siguiente comando para descargar la ultima versión de Lastpass:
wget https://download.cloud.lastpass.com/linux/lplinux.tar.bz2
Ya descargada, ahora vamos a descomprimir el paquete con:
tar xjvf lplinux.tar.bz2
Accedemos al directorio creado y ejecutamos el instalador con:
cd lplinux && ./install_lastpass.sh
Fuente: ubunlog
