Notícias

Cuidado: LastPass tem duas vulnerabilidades de segurança graves

33 Comentários

O LastPass é um dos serviços de alojamento de palavras passe mais usados na Internet. Com uma interface simples, consegue dar aos utilizadores a segurança necessária para terem os seus logins guardados e prontos a ser usados quando são necessários.

Mas este serviço tem duas falhas que agora foram descobertas, sendo simples de enganar e de levar a que as palavras passe sejam reveladas onde não devem.

LastPass Mobile

Estas duas falhas são consideradas muito graves pois permitem que qualquer atacante possa obter os dados de acesso dos utilizadores a determinados serviços, levando assim a que exista uma perda de segurança.

Ambas as falhas foram identificadas e uma delas foi prontamente resolvida pela equipa do LastPass. A segunda ainda não está completamente tratada, estando a equipa responsável a trabalhar dela para a resolver tão depressa quanto possível.

LastPass Browser

Primeira falha LastPass: Identificação errada de sites

Esta primeira falha está na função que o LastPass usa para perceber em que site está. Ao consultar o endereço do browser, esta determina o site e fornece as credenciais, caso as tenha armazenadas.

Um investigador de segurança percebeu que esta função tem um erro e pode ser facilmente enganada para que pense estar noutro site e assim um atacante pode obter os dados, tudo graças ao preenchimento automático dos dados.

Esta falha foi já corrigida e a função de descoberta de sites melhorada para que seja impossível “enganá-la”.

LastPass

Segunda falha LastPass: Serviço totalmente comprometido

Esta segunda falha foi descoberta por um elemento da equipa do Google Project Zero. Tavis Ormandy avaliou este serviço e detectou uma falha que compromete de forma total o LastPass, levando a que todas as palavras passe do utilizador sejam reveladas a um atacante.

A má notícia neste momento é que esta falha não foi ainda resolvida pela LastPass, estando a mesma a ser trabalhada. Por outro lado, e agora a parte positiva, é que apenas Tavis Ormandy e a equipa do LastPass conhecem a falha, o que a impede de ser explorada por atacantes mal intencionados.

PUB
Autor: Pedro Simões
Partilhar:
Tags:
browser falhas lastpass passwords Segurança

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Análise The Book of Unwritten Tales 2 (Wii U)
Artigo anterior

Análise The Book of Unwritten Tales 2 (Wii U)
TOP 10 – Linguagens de programação mais populares (2016)
Próximo artigo

TOP 10 – Linguagens de programação mais populares (2016)
PUB

Comentários

33

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Rui Lopes
    Rui Lopes

    sera muito dificil guardarem as passwords numa pen encriptada??

    Responder
    1. Avatar de djx
      djx

      Perdes a pen perdes as passwords

      Responder
      1. Avatar de Pedro Miguel Santos
        Pedro Miguel Santos

        lol

        Responder
      2. Avatar de ZarkBit
        ZarkBit

        Se preferes ter as tuas passwords num local alheio, isso é contigo.

        Responder
    2. Avatar de Chico
      Chico

      lolx3

      Responder
  2. Avatar de Joao 2348
    Joao 2348

    Infelizmente o SQRL (Secure Quick Reliable Login) ainda não está disponível, pensei que por esta altura já estivesse pronto, mas enfim, o autor está a demorar uma eternidade a lançar o sistema publicamente.
    Mas mesmo este SQRL terá o problema de que se não for executado num dispositivo dedicado somente para esse efeito poderá ver a sua chave privada furtada de alguma maneira e depois lá tem de se andar a mudar a chave privada (felizmente tal pode ser feito de forma segura, mas é um inconveniente).

    Responder
  3. Avatar de Diogo53
    Diogo53

    Quem é que vai guardar as suas passwords online?

    Responder
  4. Avatar de Freitas
    Freitas

    Nada melhor do que guardar na nossa cabeça, quando morremos vai connosco 😀

    Responder
    1. Avatar de KURT
      KURT

      Espero que nunca sofras de Alzheimer! Que me desculpem os mais sensíveis!

      Responder
      1. Avatar de Freitas
        Freitas

        Se sofrer também já não preciso de passes para nada, já nem me vou lembrar que tenho facebook ou sei la mais o qué 😀

        Responder
  5. Avatar de YaBa
    YaBa

    Falta dizer aí que a vulnerabilidade só funciona se o utilizador activar o auto-preenchimento e se não tiver autenticação de 2 factores.
    Quem usa este tipo de serviços, no mínimo tem de perder um bom bocado a perceber o conceito e o programa senão dá asneira obviamente.
    Ainda assim, 1Password continua a ser mais fiável, os dados ficam do lado de cá.

    Responder
    1. Avatar de P
      P

      Não sei de onde retiras essa conclusão do artigo que leste

      Responder
      1. Avatar de YaBa
        YaBa

        Porque li o artigo original do autor da exploit.

        Responder
    2. Avatar de Pedro Miguel Santos
      Pedro Miguel Santos

      conceitos um bocados estranhos estes..

      mas o 1Password é o melhor por esse ponto mesmo

      Responder
      1. Avatar de YaBa
        YaBa

        Estranhos em que sentido?
        Auto-preenchimento: parvoíce neste tipo de programas
        Autenticação de 2 factores: pelo amor da santa, estamos em 2016, se disponibilizam, USEM
        Que tem de estranho?

        Responder
        1. Avatar de KURT
          KURT

          O objectivo para a maioria é poupar trabalho, não dar mais trabalho, para que queres o lastpass então? Para guardar passwords tens muitas outras opções.
          Arrisco mesmo dizer que a grande maioria dos que usam LastPass é por causa do auto-preenchimento e não é parvoíce nenhuma, depende das prioridades de cada um, parvoíce é usar o lastpass e ter pancadas, a partir do momento em que usas a segurança das tuas passwords depende de terceiros, se realmente tens algum problema com isso nem sequer chegas a usar.

          Responder
          1. Avatar de Jorge Carvalho
            Jorge Carvalho

            se o motivo para usar algo como o lastpass ou 1password é a preguiça de preencher o login, então o problema reside aí.

            Abc

  6. Avatar de Anónimo
    Anónimo

    “Por outro lado, e agora a parte positiva, é que apenas Tavis Ormandy e a equipa do LastPass conhecem a falha, o que a impede de ser explorada por atacantes mal intencionados.” — Isso ou só estes é que se chegaram à frente…
    Nada impede que algum Black-Hat já tenha descoberto a falha há mais tempo, mas que tenham ficado calado… porque para o negócio dele assim é mais proveitoso.

    Responder
  7. Avatar de Pedro Soares
    Pedro Soares

    De acordo com LastPass, esta vulnerabilidade afecta apenas Firefox. “The recent report only affects Firefox users.”

    Responder
    1. Avatar de Pedro
      Pedro

      Pois… ops, eu uso o LastPass e o Firefox 🙂 …

      Responder
  8. Avatar de Kaisersoze
    Kaisersoze

    Eu usava Lastpass mas com isto, passei ontem para Keepass.

    Responder
    1. Avatar de Pedro
      Pedro

      Eu já tentei passar definitivamente para o Keepass. Tenho a perfeita noção que actualmente é o mais seguro, mas o LastPass é mais “cómodo”… consigo integra-lo perfeitamente no Firefox (ou Chrome ou Android)… Sei que o Keepass também faz isso, mas tens que o ter instalado e aberto… Desta vez, preferi a “comodidade” à segurança… (porque na internet até isso é relativo…)

      Responder
      1. Avatar de KURT
        KURT

        Tal como a maioria das pessoas que usa o LastPass, preferem a comodidade e deixam de lado as questão de segurança. Não estou a dizer que é certo ou errado, é uma questão de prioridades, as falhas vão estar constantemente a ser exploradas e corrigidas.

        Responder
  9. Avatar de RG
    RG

    A 1ª falha foi identifica e corrigida há mais de 1 ano. Só agora é que foi revelada. E nem sequer funcionava com autenticação de 2 passos ligada.

    A 2ª parece que só afeta o addon do firefox.

    Eu considero que quem não usa este tipo de serviços está muito mais vulnerável, pois acaba por utilizar a mesma password em diversos sites ( já para não falar de keyloggers).

    Responder
  10. Avatar de Diogo Francisco
    Diogo Francisco

    Quem usa o auto preenchimento do LastPass é porque tem alguma preguiça. Basta consultarem a aplicação e verem a password pretendida e digitam-na.
    Quando estava a acabar o meu curso, utilizei um Sniffer chamado MitmF que foi capaz de captar todas as passwords na rede que eram carregadas através do auto preenchimento para provar as vulnerabilidades destas aplicações.
    Trabalho com bastantes acessos diferentes e não é fácil decorar tudo. Uso o Keepass mas com password mestra e ficheiro de autenticação. Acaba por ser mais fiável sem auto preenchimento!

    Responder
  11. Avatar de Bruno
    Bruno

    “Update: LastPass has quickly patched the vulnerability reported by Tavis Ormandy and pushed an update with fix for all Firefox users using LastPass 4.”
    http://thehackernews.com/2016/07/lastpass-password-manager.html

    Responder
  12. Avatar de darkvoid
    darkvoid

    KeePass + dropbox… para quê inventar mais?
    Para quê colocar as passwords mais importantes e pessoais num servidor qualquer de terceiros?

    Responder
    1. Avatar de Jorge Carvalho
      Jorge Carvalho

      Hum ? o Dropbox é teu ? 🙂

      Abc

      Responder
      1. Avatar de AP
        AP

        A ideia do keepass é teres um encriptação tão boa que literalmente podes ter a base de dados das passwords com acesso público: sem a password mestre, é inútil.

        Responder
      2. Avatar de darkvoid
        darkvoid

        Tenho no dropbox apenas um ficheiro altamente encriptado. Qualquer vulnerabilidade na dropbox e levam um ficheiro que só apenas a NSA poderá desencriptar.
        Agora se as pessoas continuam a por no lastpass tens as passwords no servidor deles sujeito a qualquer coisa….

        Responder
  13. Avatar de Hugo
    Hugo

    Têm uma alternativa ao Lastpasswod

    http://www.roboform.com/
    https://1password.com/

    Responder
  14. Avatar de Lumia 630 DS
    Lumia 630 DS

    Alternativa ao Lastpass.
    Memophante, ou exercício mental. Nao custa nada.

    Responder
    1. Avatar de ZarkBit
      ZarkBit

      LOL Memophante.

      You sir, made my day!

      Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.