Saprete bene tutti ormai che LastPass è uno dei maggiori Password Manager diffusi nel panorama della telefonia mobile: recentemente è stato aggiornato, permettendoci di proteggere le password d'accesso ai nostri dati, attraverso una password principale.
Il fatto è che recentemente è stato dimostrato, durante una conferenza hacker ShmoonCon che questa nuova interfaccia adottata da LastPass, ha reso vulnerabile ad eventuali attacchi hacker, proprio la password pincipale d'accesso!
Proprio il CTO dell'azienda di sicurezza Praesidio Sean Cassidy ha messo in luce quanto fosse semplice riuscire a violare tutte le password memorizzate all'interno del data base di LastPass, tramite un tentativo di phishing.
Infatti mentre utilizziamo il plugin di LastPass, lo stesso ci presenta una schermata di autenticazione la quale nel momento in cui non siamo autenticati su un sito di cui il gestore conosce la password. A questo punto nasce il problema:
"Il pop-up che viene presentato da LastPass è una normalissima pagina creata in HTML, CSS e Javascript, che risulta facilmente clonabile! Per tal motivo, Cassidy ha dato prova di come un qualunqe malintenzionato può con assoluta facilità riuscire a forzare un logout e in seguito proporre un pop-up di autenticazione totalmente uguale a quello originale di LastPass, solo che in realtà sarà l'anticamera per potere entrare in possesso di tutte le vostre password!Onde per cui, vi consiglio vivamente, di autenticarvi sempre attraverso il sito ufficiale di LastPass ed adottare la verifica in due passaggi! (Fig.1)
Fig.1 |
Ma se desiderate saperne di più, vi consiglio di visitare la pagina di supporto che è stata realizzata da LastPass, dove vengono chiariti quali siano i rischi reali e possibili e sopratutto come si sta decidendo di affrontarli per ridurli al minimo.
Nessun commento:
Posta un commento