En repetidas ocasiones les hemos mencionado lo útiles que son los gestores de contraseñas para Android, ya que proveen un sistema relativamente seguro y bastante práctico para guardar todas nuestras contraseñas dentro de la misma bóveda digital, la cual sólo puede ser abierta con una contraseña maestra previamente establecida por nosotros.
Uno de los gestores de contraseñas más populares para Android es LastPass y aunque este haya sido nuestra recomendación principal en el pasado, eso podría cambiar dentro de poco debido a un agujero de seguridad relativamente grande dentro de la interfaz de este gestor.
Para ser más específicos, este agujero no se encontraba exactamente dentro de LastPass, sino dentro de otra de sus apps llamada LastPass Authenticator. Como su nombre lo indica, LastPass Authenticator fue diseñada para agregar una capa extra de autenticación al sistema principal de LastPass, basándose en un sistema de verificación en dos pasos para lograrlo.
El problema es que este complemento poseía un agujero de seguridad que permitía ingresar a tu bóveda de contraseñas sin tener que introducir tu clave. No sólo eso, sino que este agujero también le permitió a ciertos programadores ignorar el bloqueo por huella dactilar establecido por algunos usuarios.
Este agujero fue revelado por un programador de Hacker Noon apodado Dylan, quien descubrió que lo único que necesitas hacer para burlar estos sistemas de seguridad es acceder a ciertas actividades individuales de la app.
Lo peor de todo es que ni siquiera necesitabas rootear tu dispositivo Android para hackear las cuentas conectadas con LastPass Authenticator usando este método. De acuerdo con Dylan, era tan sencillo como usar Activity Launcher para dispositivos con Android Nougat o versiones anteriores, y QuickShortcutMaker para dispositivos con Android Oreo.
Dylan asegura que reportó esta grave falla en junio, contando incluso con el apoyo de un representante de LastPass, el cual confirmó que este problema era bastante fácil de replicar.
Luego de un tiempo, Dylan se volvió a comunicar con LastPass pero esta compañía no le dio respuesta con respecto a una solución para esta falla.
Al llegar diciembre, Dylan intentó comunicarse con LastPass una vez más y supuestamente el problema aún estaba «bajo investigación». Dos semanas después Dylan se cansó del poco interés que LastPass mostró para solucionar este problema, así que publicó toda la información para que el mundo la conociera.
Como era de esperarse, sólo pasaron un par de horas desde que esta noticia se hizo pública para que LastPass emitiera un comunicado oficial en el que le aseguraron a sus usuarios que la falla sería investigada y solucionada de forma rápida.
La solución proveída por LastPass fue una actualización que supuestamente sella por completo el agujero de seguridad encontrado por Dylan, forzando a la aplicación a pedir la huella dactilar o el pin registrado sin importar la forma en la que el usuario intente acceder a la bóveda de contraseñas.
Esta compañía también prometió mejorar su sistema de ayuda y registro de errores para que fallas tan graves como esta no vuelvan a ser ignoradas por tanto tiempo, pero solamente el tiempo nos dirá si realmente aprendieron su lección.
:)