Onderzoeker Tavis Ormandy van Google heeft een ernstige kwetsbaarheid ontdekt in wachtwoordmanager LastPass. Via deze kwetsbaarheid kunnen kwaadwillenden systemen overnemen en zelfs wachtwoorden ontvreemden.
Wachtwoordmanager LastPass is een clouddienst waar gebruikers grote hoeveelheden wachtwoorden in een digitale kluis kunnen bewaren. De gebruiker hoeft slechts één hoofdwachtwoord te onthouden om toegang te krijgen tot zijn eigen digitale kluis. Vervolgens kan hij heel eenvoudig inloggen in websites waarvoor hij een password heeft.
Windows
De google-onderzoeker kwam erachter dat de Chrome- en Firefox-versie van de LastPass-extensie een beveiligingslek bevat. Het zou volgens Ormandy kunnen dat kwaadwillenden op afstand willekeurige codes uitvoeren om wachtwoorden te bemachtigen. De exploit die hij ontwikkelde om de aanval op het lek te demonstreren, functioneert op Windows maar zou tevens voor andere platformen kunnen worden ontwikkeld.
Permanente fix
LastPass zegt inmiddels een tijdelijke oplossing uitgerold te hebben. Momenteel werkt het bedrijf aan een permanente fix. In 2016 kwam Ormandy ook al een ernstige kwetsbaarheid in LastPass op het spoor. Ook hierbij zouden kwaadwillenden op afstand volledig de controle over systemen kunnen krijgen. LastPass kwam vorig jaar vrij snel met een update waarmee het probleem opgelost werd.