Geekissimo

LastPass, un bug mette gli utenti a rischio phishing

 
Martina Oliva
20 gennaio 2016
0 commenti

Considerando la gran quantità di servizi digitali che ogni utente si ritrova ormai a dove gestire avere a propria disposizione un password manager può essere indubbiamente molto utile. Chiaramente il discorso risulta valido solo ed esclusivamente nel caso in cui la risorsa sfruttata non sia vulnerabile e qualora riesca a garantire un elevato grado di sicurezza.

Foto di LastPass su smartphone

A tal proposito gli utenti di LastPass di sicuro non saranno esattamente felici di sapere che a novembre è stato scoperto un bug nel ben noto ed ampiamente diffuso gestore di password che può essere sfruttato per eseguire attacchi di phishing e per rubare tutte le credenziali di accesso.

Nel dettaglio, nel corso della conferenza hacker ShmooCon, organizzata a Washington D.C., il ricercatore Sean Cassidy ha mostrato come l’utente possa essere indotto a digitare la master password quando il browser visualizza un pop-up identico a quello dell’estensione LastPass per Google Chrome. L’utente malcapitato non nota alcuna differenza ma va a “porgere l’altra guancia” al cybercriminale permettendogli di ottenere le password di tutti i suoi servizi online. L’attacco si verifica poi se l’utente viene convinto a visitare un sito infetto oppure se un sito affidabile risulta vulnerabile.

Andando ancor più nello specifico, il codice JavaScript genera una notifica che segnala la fine della sessione. L’utente effettua quindi il login ma i dati vengono trasmessi al server controllato da remoto. Il server verifica se le credenziali sono corrette chiamando le API pubbliche di LastPass ed eventualmente chiede anche il codice dell’autenticazione in due passaggi. A questo punto, tutta la vita digitale dell’utente finisce nelle mani del cybercriminale.

Il bug in oggetto, è bene sottolinearlo, risulta al momento già risolto ragion per cui attualmente è possibile sfruttare LastPass senza timore.

[Photo Credits | Vdovichenko Denis / Shutterstock.com]

Via | gHacks Technology News

Potrebbe interessarti anche
Articoli Correlati
Mac, scovato un nuovo malware che mostra pubblicità non gradite

Mac, scovato un nuovo malware che mostra pubblicità non gradite

Pur essendo più sicura rispetto ad altre, la piattaforma Mac, così come il caso Flashback insegna ed a differenza di quanto è stato fatto per anni, non è sicuramente da considerare […]

Secunia, Google Chrome è stato il software più vulnerabile del 2012

Secunia, Google Chrome è stato il software più vulnerabile del 2012

Diversamente da quel che potrebbe pensare la maggiore parte degli utenti i principali pericoli per la sicurezza non provengono dalle applicazione made in Redmond ma aggiudicarsi il titolo di veri […]

Le chiavette 3G e 4G possono mettere a rischio la sicurezza dell’OS

Le chiavette 3G e 4G possono mettere a rischio la sicurezza dell’OS

Nel software precaricato su quelle che sono le comunissime chiavette utilizzate a mò di modem per connettersi ad internet sono presenti numerose vulnerabilità che, a quanto pare, possono essere sfruttate […]

Microsoft: “Congratulazioni, hai vinto” è la truffa online più diffusa

Microsoft: “Congratulazioni, hai vinto” è la truffa online più diffusa

A tutti o comunque a molti sarà capitato, navigando online, di ritrovarsi dinanzi il fatidico messaggio “Congratulazioni, hai vinto” ed eventuali varianti. I più accorti avranno senz’altro evitato di cliccarci […]

Microsoft acquisisce PhoneFactor e punta all’identificazione sicura

Microsoft acquisisce PhoneFactor e punta all’identificazione sicura

Durante gli ultimi giorni Microsoft ha annunciato di aver effettuato una nuova ed importante acquisizione mirante all’aggiunta di ulteriori funzioni di sicurezza ai propri prodotti. Trattasi, nello specifico, dell’acquisizione di […]

Lista Commenti
Aggiungi il tuo commento

Fai Login oppure Iscriviti: è gratis e bastano pochi secondi.

Nome*
E-mail**
Sito Web
* richiesto
** richiesta, ma non sarà pubblicata
Commento