Sårbarhet i Lastpass webbläsartillägg

Tavis Ormandy, säkerhetsforskare i Googles Project Zero-grupp, har hittat en ny sårbarhet i lösenordshanteraren Lastpass webbläsartillägg för Google Chrome. Sårbarheten gjorde att en skadlig webbplats kunde komma åt det senaste lösenordet som Lastpass-tillägget hade fyllt i. Om en användare lät Lastpass fylla i sitt lösenord på exempelvis google.com och därefter gick till en skadlig webbplats, kunde den skadliga webbplatsen komma åt användarens Google-lösenord.

Ferenc Kun, Security Engineering Manager hos Lastpass, har publicerat en officiell kommentar. Han skriver bland annat att det inte räckte med att webbplatsen var skadlig för att sårbarheten skulle kunna utnyttjas. Användaren behövde också luras till att klicka på den skadliga sidan flera gånger för att det senast ifyllda lösenordet skulle läcka.

Lastpass har nu patchat sitt webbläsartillägg och Tavis har bekräftat att sårbarheten är åtgärdad. Webbläsartillägget uppdateras automatiskt, så vi slutanvändare behöver inte göra något.

Vi har genom åren sett flera exempel på säkerhetsrisker som uppstår på grund av lösenordshanterarnas webbläsartillägg. Trots detta rekommenderar vi fortfarande att använda webbläsartilläggen eftersom de samtidigt skyddar mot nätfiskeattacker. För normalanvändare väger alltså webbläsarintegrationens fördelar tyngre än dess nackdelar.

All mjukvara har sårbarheter och lösenordshanterare är inget undantag. Varenda gång någon har hittat sårbarheter i Lastpass lösenordshanterare har Lastpass-teamet varit snabba på att åtgärda problemet och de har varit transparenta i sin rapportering. Log me in (företaget bakom Lastpass) driver också ett så kallat Bug Bounty-program där säkerhetsforskare kan få betalt för att rapportera sårbarheter som de hittar. Den aktuella incidenten påverkar således inte vår rekommendation av Lastpass som lösenordshanterare.