Toti utilizatorii managerului de parole LastPass trebuie sa fie mult mai precauti. Asta deoarece, printr-un atac de tip phishing relativ simplu, LastPass ar putea fi compromis.
Cum anume mai exact? Conform lui Sean Cassidy, CTO la Praesidio Inc., exploatarea se poate face prin intermediul notificarilor afisate de LastPass v.4.0, intr-o fereastra de browser, care pot fi falsificate (spoof-ate) astfel incat sa pacaleasca utilizatorii sa-si divulge datele de logare, si chiar sa obtina si codul secundar de acces, in cazul autentificarilor in doi pasi.
Cassidy a explicat cum LastPass alerteaza utilizatorii atunci cand sunt deconectati din aplicatie. Problema sta in faptul ca alerta este afisata in fereastra browser-ului, iar alerta ar putea fi recreata si declansata de un atacator, daca cineva poate fi atras pe un site malware.
Intr-un post pe blog, LastPass a spus ca a facut unele imbunatatiri care ar trebui sa ingreuneze un astfel de atac, astfel incat utilizatorul sa-si dea seama daca este pacalit.
De asemenea, compania a eliminat posibilitatea ca anumite pagini web sa delogheze utilizatorii din LastPass. Chiar daca acestia vor primi o avertizare ca au fost deconectati, este recomandat sa verifice in aplicatie ca sa vada ca de fapt sunt inca logati.
Sursa foto