LastPass Authenticator: Entwickler reagiert auf Umgehen der App-Sperre mit Update

28. Dezember 2017 Kategorie: Android, Backup & Security, Software & Co, geschrieben von:

Na endlich! Wie nun gerade erst von Caschy berichtet, gibt es seit mindestens Juni 2017 einen Workaround, mit dem sich die Sperre der LastPass-TOTP-App relativ simpel umgehen lässt und dem Angreifer anschließend vollen Zugriff auf die dort hinterlegten Codes gibt. Simpel allerdings auch nur dann, wenn der Angreifer auch wirklich Zugriff auf das entsperrte Smartphone hat und parallel eine notwendige Zusatz-App installieren kann. Wie bereits erwähnt, sei diese Lücke dem Entwickler bereits im Juni dieses Jahres gemeldet worden.In einem nun veröffentlichten Beitrag informiert der Entwickler darüber, dass diese Meldung anscheinend deswegen untergegangen ist, weil eben jene nicht über das laufende Bug Bounty-Programm gemeldet wurde. Finde ich persönlich schon ein wenig seicht als Erklärung.

Bisher hatte der Entwickler auch nicht sonderlich umfangreich geantwortet, inwieweit denn bald mit einem Update zu rechnen sei. Nur, dass die Schwachstelle weiter untersucht werde. Nun ja – entsprechendes Update ist nun nach allerlei Medienecho am Ende doch endlich verfügbar und soll die Lücke komplett schließen, heißt es.

Es sei zu keiner Zeit möglich gewesen, mit den einsehbaren Codes ohne weitere Zugangsdaten Schabernack zu treiben. „At no time did the identified workaround allow access to the TOTP secrets used to generate the one-time codes.“ Man habe allerdings den bisherigen Meldeprozess für gefundene Sicherheitslücken anpassen müssen, so der Entwickler.

TL;DR: LastPass Authenticator-Lücke wurde gemeldet und nun ist auch ein entsprechendes Update verfügbar, dass diese schließt.


Über den Autor:

Blogger, stolzer Ehemann und passionierter Dad aus dem Geestland. Quasi-Nachbar vom Caschy (ob er mag oder nicht ;D ), mit iOS und Android gleichermaßen glücklich und außerdem zu finden auf Twitter und Google+. PayPal-Kaffeespende an den Autor. Mail: benjamin@caschys.blog

Benjamin hat bereits 1133 Artikel geschrieben.