La app LastPass no es tan segura como creíamos

En repetidas ocasiones les hemos mencionado¬†lo √ļtiles que son los gestores de contrase√Īas para Android, ya que proveen un sistema relativamente seguro y bastante pr√°ctico para guardar todas nuestras contrase√Īas dentro de la misma b√≥veda digital, la cual s√≥lo puede ser abierta con una contrase√Īa maestra previamente establecida por nosotros.

Uno de los gestores de contrase√Īas m√°s populares para Android es LastPass y aunque este haya sido¬†nuestra recomendaci√≥n principal¬†en el pasado, eso podr√≠a cambiar dentro de poco debido a¬†un agujero de seguridad relativamente grande¬†dentro de la interfaz de este gestor.

Para ser m√°s espec√≠ficos, este agujero¬†no se encontraba exactamente dentro de LastPass,¬†sino dentro de otra de sus apps llamada¬†LastPass Authenticator. Como su nombre lo indica, LastPass Authenticator fue dise√Īada para agregar una capa extra de autenticaci√≥n al sistema principal de LastPass, bas√°ndose en un¬†sistema de verificaci√≥n en dos pasos¬†para lograrlo.

El problema es que este complemento pose√≠a un agujero de seguridad que permit√≠a¬†ingresar a tu b√≥veda de contrase√Īas sin tener que introducir tu clave.¬†No s√≥lo eso, sino que este agujero tambi√©n le permiti√≥ a ciertos programadores¬†ignorar el bloqueo por huella dactilar¬†establecido por algunos usuarios.

Este agujero fue revelado por¬†un programador de Hacker Noon apodado Dylan,¬†quien descubri√≥ que lo √ļnico que necesitas hacer para burlar estos sistemas de seguridad es acceder a ciertas actividades individuales de la app.

Lo peor de todo es que ni siquiera necesitabas rootear tu dispositivo Android para hackear las cuentas conectadas con LastPass Authenticator usando este método. De acuerdo con Dylan, era tan sencillo como usar Activity Launcher para dispositivos con Android Nougat o versiones anteriores, y QuickShortcutMaker para dispositivos con Android Oreo.

Dylan asegura que reportó esta grave falla en junio, contando incluso con el apoyo de un representante de LastPass, el cual confirmó que este problema era bastante fácil de replicar.

Luego de un tiempo, Dylan se volvi√≥ a comunicar con LastPass pero esta compa√Ī√≠a¬†no le dio respuesta con respecto a una soluci√≥n¬†para esta falla.

Al llegar diciembre, Dylan intent√≥ comunicarse con LastPass una vez m√°s y supuestamente el problema a√ļn estaba¬†¬ębajo investigaci√≥n¬Ľ.¬†Dos semanas despu√©s Dylan se cans√≥ del poco inter√©s que LastPass mostr√≥ para solucionar este problema, as√≠ que public√≥ toda la informaci√≥n para que el mundo la conociera.

Como era de esperarse, s√≥lo pasaron un par de horas desde que esta noticia se hizo p√ļblica para que LastPass¬†emitiera¬†un comunicado oficial¬†en el que le aseguraron a sus usuarios que¬†la falla ser√≠a investigada y solucionada de forma r√°pida.

La soluci√≥n prove√≠da por LastPass fue una actualizaci√≥n que supuestamente sella por completo el agujero de seguridad encontrado por Dylan, forzando a la aplicaci√≥n a pedir la huella dactilar o el pin registrado sin importar la forma en la que el usuario intente acceder a la b√≥veda de contrase√Īas.

Esta compa√Ī√≠a tambi√©n prometi√≥¬†mejorar su sistema de ayuda y registro de errores¬†para que fallas tan graves como esta no vuelvan a ser ignoradas por tanto tiempo, pero solamente el tiempo nos dir√° si realmente aprendieron su lecci√≥n.

:)