LastPass, rischio phishing per il password manager

I password manager permettono di conservare i dati di accesso ai vari siti e di usare keyword più complesse di quelle che l’utente medio riesce a memorizzare. Tutto ciò vale solo se il software stesso non è vulnerabile e quindi garantisce la stessa sicurezza delle password scritte su un pezzo di carta. Un ricercatore ha scoperto un bug in LastPass che può essere sfruttato per eseguire attacchi di phishing e rubare tutte le credenziali di accesso, incluso i codici per l’autenticazione in due passi.

Durante la conferenza hacker ShmooCon, organizzata a Whashington D.C., Sean Cassidy ha mostrato come l’utente possa essere indotto a digitare la master password, quando il browser visualizza un pop-up identico a quello dell’estensione LastPass per Chrome. Il malcapitato non nota quindi nessuna differenza e permette al cybercriminale di ottenere le password di tutti i siti web. L’attacco si verifica se l’utente viene convinto, tramite tecniche di ingegneria sociale, a visitare un sito infetto oppure se un sito affidabile è vulnerabile.

Il codice JavaScript genera una notifica che segnala la fine della sessione, a causa di una vulnerabilità CSRF presente in LastPass. L’utente effettua quindi il login, ma i dati vengono trasmessi al server controllato da remoto. Il server verifica se le credenziali sono corrette chiamando le API pubbliche di LastPass ed eventualmente chiede anche il codice dell’autenticazione in due passi. A questo punto, tutta la vita digitale dell’utente finisce nelle mani del cybercriminale.

Il bug è stato segnalato a novembre e la software house ha già eliminato il problema. LastPass sfrutta il cloud per memorizzare le password e sincronizzarle su tutti i dispositivi, mentre con KeePass e altri password manager sono conservate localmente. L’utente deve quindi valutare vantaggi e svantaggi delle due soluzioni e scegliere quella che meglio soddisfa le sue esigenze.