LastPass Authenticator: Sperre lässt sich einfach umgehen

Der LastPass Authenticator ist eine separate Android-App des Anbieters LastPass, mit der Nutzer Codes für die Zwei-Faktor-Authentifizierung erstellen können – entweder mit LastPass-Account – oder ohne. Mit der App kann man arbeiten wie mit dem Google Authenticator oder Authy. Bei der Einrichtung QR-Codes abfotografieren und später dann Codes generieren lassen, die man für die Zwei-Faktor-Authentifizierung benötigt. Die App lässt sich sperren per Fingerabdruck oder Pin – und jenes lässt sich super einfach umgehen, wie ich selber mal vor diesem Beitrag nachvollzogen habe.

Vorab gebe ich aber zu bedenken, dass man natürlich schauen muss, wie realistisch die Ausnutzung ist. Der Angreifer müsste Zugriff auf euer entsperrtes Smartphone haben. Erstellt man sich mittels Zusatz-App (z.B. Activity Launcher oder QuickShortcutMaker) oder Aktivitäten-Verknüpfung des Nova Launchers einen Schnellzugriff auf die Einstellungen des LastPass Authenticator, so landet man bei Ausführung direkt und ohne Sperre in den Einstellungen der App. Hier muss man dann  nur auf „Zurück“ klicken und schon landet man im Hauptbildschirm, wo die Codes für die jeweiligen mit der Zwei-Faktor-Authentifizierung gesicherten Dienste angezeigt und generiert werden.

Der Finder der Schwachstelle gab an, diese bereits Mitte Juni 2017 gemeldet zu haben. Am 7.Dezember gab es die Antwort, dass immer noch kein Update geschehen ist und dass man den Fall weiter untersuche. Zwischen dem 8.12 und dem 24.12 gab es auf die Information, dass man die Details publik machen werde, keine Antwort von LastPass.

Wie erwähnt: Der Angreifer müsste Zugriff auf das entsperrte Smartphone haben und da unter Umständen zusätzliche Apps installieren, um den Sperrmechanismus zu umgehen. Dennoch hätte es einfach für LastPass sein müssen, diesen Umweg zu sperren. Wer sich unsicher fühlt, der findet zahlreiche weitere OTP-Apps für Android im Google Play Store.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

3 Kommentare

  1. Smartphone-Diebe sind für so ein Szenario einfach zu dumm. Sorry. Ich sehe daher für normale User keine Gefahr.

  2. Beim Microsoft Authenticator gibt es so eine Sperre gar nicht und der Google Authenticator hat dieses „Feature“ glaube ich auch nicht. Diese Suppe wird mal wieder heißer gekocht als sie gegessen wird.

  3. Deliberation says:

    Naja, eine Unverschämtheit ist es von Lastpass schon, einfach nicht zu reagieren. Gerade Firmen, die sich auf Sicherheit spezialisiert haben, sollten nicht nur dankbar für solche Hinweise, sondern auch sehr reaktiv sein. Wenn sie das nicht sind, stärkt das nicht gerade das Vertrauen in die Dienste dieser Firma.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.