Google merkt ernstig lek op in LastPass

Tavis Ormandy, een onderzoeker bij Google heeft een ernstig beveiligingslek opgemerkt in de wachtwoordmanager LastPass. Dit lek maakt het mogelijk voor een aanvaller om systemen in het ergste geval volledig over te nemen.

Anderzijds kunnen er ook gewoon wachtwoorden door worden gestolen. LastPass is een clouddienst die gebruikers de mogelijkheid biedt om hun wachtwoorden voor verschillende websites in een soort van virtuele kluis op te slaan. De gebruiker dient enkel en alleen gebruik te maken van een hoofdwachtwoord om de opgeslagen paswoorden op te kunnen vragen.

Ormandy stelde tijdens diens onderzoek vast dat de versies voor Chrome en Firefox van de LastPass-extensie over een kwetsbaarheid beschikken. Deze zorgt er voor dat het vanop afstand mogelijk is om een willekeurige code in te voeren om vervolgens de wachtwoorden te bemachtigen.

De nodige details zullen door de onderzoeker in een latere fase worden bekend gemaakt. De exploit die door hem werd ontwikkeld om de aanval op het lek te demonstreren draait op Windows. Ze kan evenwel probleemloos worden aangepast zodat ze ook op andere platformen kan draaien.

Tijdelijke oplossing uitgerold

In een reactie op de bekendmaking van het lek heeft LastPass aangegeven dat er momenteel een tijdelijke oplossing is uitgerold. Inmiddels zou men echter ook werken aan een permanente fix. Het is niet de eerste keer dat er een ernstig lek wordt vastgesteld in LastPass.

Vorig jaar kwam bijvoorbeeld reeds een ernstige kwetsbaarheid aan het licht waardoor het systeem van gebruikers vanop afstand volledig kon worden overgenomen. Kort nadat de kwetsbaarheid via Twitter werd bekend gemaakt door Ormandy verscheen er een update van LastPass die het probleem verhielp.