La app LastPass no es tan segura como cre铆amos

En repetidas ocasiones les hemos mencionado聽lo 煤tiles que son los gestores de contrase帽as para Android, ya que proveen un sistema relativamente seguro y bastante pr谩ctico para guardar todas nuestras contrase帽as dentro de la misma b贸veda digital, la cual s贸lo puede ser abierta con una contrase帽a maestra previamente establecida por nosotros.

Uno de los gestores de contrase帽as m谩s populares para Android es LastPass y aunque este haya sido聽nuestra recomendaci贸n principal聽en el pasado, eso podr铆a cambiar dentro de poco debido a聽un agujero de seguridad relativamente grande聽dentro de la interfaz de este gestor.

Para ser m谩s espec铆ficos, este agujero聽no se encontraba exactamente dentro de LastPass,聽sino dentro de otra de sus apps llamada聽LastPass Authenticator. Como su nombre lo indica, LastPass Authenticator fue dise帽ada para agregar una capa extra de autenticaci贸n al sistema principal de LastPass, bas谩ndose en un聽sistema de verificaci贸n en dos pasos聽para lograrlo.

El problema es que este complemento pose铆a un agujero de seguridad que permit铆a聽ingresar a tu b贸veda de contrase帽as sin tener que introducir tu clave.聽No s贸lo eso, sino que este agujero tambi茅n le permiti贸 a ciertos programadores聽ignorar el bloqueo por huella dactilar聽establecido por algunos usuarios.

Este agujero fue revelado por聽un programador de Hacker Noon apodado Dylan,聽quien descubri贸 que lo 煤nico que necesitas hacer para burlar estos sistemas de seguridad es acceder a ciertas actividades individuales de la app.

Lo peor de todo es que聽ni siquiera necesitabas rootear tu dispositivo Android聽para hackear las cuentas conectadas con LastPass Authenticator usando este m茅todo. De acuerdo con Dylan, era tan sencillo como usar Activity Launcher para dispositivos con Android Nougat o versiones anteriores, y QuickShortcutMaker para dispositivos con Android Oreo.

Dylan asegura que聽report贸 esta grave falla en junio,聽contando incluso con el apoyo de un representante de LastPass, el cual confirm贸 que este problema era bastante f谩cil de replicar.

Luego de un tiempo, Dylan se volvi贸 a comunicar con LastPass pero esta compa帽铆a聽no le dio respuesta con respecto a una soluci贸n聽para esta falla.

Al llegar diciembre, Dylan intent贸 comunicarse con LastPass una vez m谩s y supuestamente el problema a煤n estaba聽«bajo investigaci贸n».聽Dos semanas despu茅s Dylan se cans贸 del poco inter茅s que LastPass mostr贸 para solucionar este problema, as铆 que public贸 toda la informaci贸n para que el mundo la conociera.

Como era de esperarse, s贸lo pasaron un par de horas desde que esta noticia se hizo p煤blica para que LastPass聽emitiera聽un comunicado oficial聽en el que le aseguraron a sus usuarios que聽la falla ser铆a investigada y solucionada de forma r谩pida.

La soluci贸n prove铆da por LastPass fue una actualizaci贸n que supuestamente sella por completo el agujero de seguridad encontrado por Dylan, forzando a la aplicaci贸n a pedir la huella dactilar o el pin registrado sin importar la forma en la que el usuario intente acceder a la b贸veda de contrase帽as.

Esta compa帽铆a tambi茅n prometi贸聽mejorar su sistema de ayuda y registro de errores聽para que fallas tan graves como esta no vuelvan a ser ignoradas por tanto tiempo, pero solamente el tiempo nos dir谩 si realmente aprendieron su lecci贸n.

:)