LastPass è uno dei password manager più diffusi e apprezzati. Il suo funzionamento è quello di offrire un lai memorizzazione delle credenziali di accesso ai servizi Internet, che possono essere richiamati facilmente attraverso un’unica password. Sembra però che il servizio abbia delle vulnerabilità che autorizzerebbero i cyber-criminali di intercettare i dati memorizzati mediante l’esecuzione di un Javascript incorporato in una pagina Web. L’allerta arriva, grazie al ricercatore del Project Zero Team di Google Tavis Ormandy ed allarma gli utenti che hanno deciso di affidare a LastPass la gestione delle password. Spiega Ormandy in un post, la vulnerabilità che affligge l’estensione per Chrome consente di sottrarre le credenziali memorizzate e, nel caso in cui l’utente abbia installato il binary di LastPass, avviare anche un’esecuzione di codice in remoto. L’installazione del binary per l’estensione di Chrome è stata introdotta per integrare alcune funzioni avanzate nel servizio e non è necessariamente presente in tutte le installazioni. Secondo Ormandy, però, la sua installazione potrebbe essere forzata proprio attraverso la falla da lui individuata e, di conseguenza, anche chi non ha il componente binario installato correrebbe lo stesso rischio di chi lo ha.
