Descobertas novas falhas no LastPass; empresa diz ter resolvido o problema

Por Redação | 27.07.2016 às 20:29
photo_camera Divulgação

Numa época em que temos contas em diversas redes sociais, página de bancos e outras tantas, lembrar-se dos dados de login e de senhas de todos esses sites é um trabalho hercúleo. Ainda que grande parte dos sites permita entrar com a conta do Facebook, a chance é ainda de ter mais coisas para decorar do que sua cabeça atarefada possa comportar.

Para resolver esses problemas foram inventados os gerenciadores de senhas, como o KeePass e o LastPass. Como eles guardam dados muito valiosos, é de se imaginar que sejam muito seguros. Geralmente, eles são, mas não estão imunes a falhas, como nenhum sistema está.

Recentemente, um pesquisador de segurança do Google chamado Travis Ormandy escreveu no Twitter sobre um problema da extensão do LastPass para Firefox. Caso um hacker consiga atrair um usuário a acessar um site malicioso, o criminoso pode ter controle sobre o software de gerenciamento de senhas. A empresa que administra o LastPass afirma que está ciente do problema e já liberou um patch para usuários de Firefox.

Ormandy não foi único a escrever sobre uma falha do programa. Mathias Karlsson, do Detectify, também disse que conseguiu hackear o LastPass. No caso, ele se aproveitou de um bug na extensão para Chrome. Normalmente, o software preenche automaticamente o login e senha dos respectivos sites, mas o sistema pode ser enganado para que faça esse trabalho mesmo em URLs que nada tenham a ver com que está cadastrado no aplicativo.

Com isso, um usuário mal-intencionado pode atrair o outro para uma página que coleta a senha. Funciona assim: o hacker faria, por exemplo, o usuário visitar uma página falsa do Twitter. O LastPass pensaria que se trata do site de microblogs e, então, preencheria automaticamente os dados de login e senha, que são coletados pela página falsa. Esse problema também já foi consertado, de acordo com a companhia que criou o programa.

Em ambos os casos, os usuários são atraídos para uma página falsa, então, a LastPass adverte as pessoas a ter cuidado com ataques de phishing e não clicar em links desconhecidos.

Com informações da PC World.