LastPass Authenticator: Sperre lässt sich einfach umgehen

27. Dezember 2017 Kategorie: Android, Backup & Security, geschrieben von:

Der LastPass Authenticator ist eine separate Android-App des Anbieters LastPass, mit der Nutzer Codes für die Zwei-Faktor-Authentifizierung erstellen können – entweder mit LastPass-Account – oder ohne. Mit der App kann man arbeiten wie mit dem Google Authenticator oder Authy. Bei der Einrichtung QR-Codes abfotografieren und später dann Codes generieren lassen, die man für die Zwei-Faktor-Authentifizierung benötigt. Die App lässt sich sperren per Fingerabdruck oder Pin – und jenes lässt sich super einfach umgehen, wie ich selber mal vor diesem Beitrag nachvollzogen habe.

Vorab gebe ich aber zu bedenken, dass man natürlich schauen muss, wie realistisch die Ausnutzung ist. Der Angreifer müsste Zugriff auf euer entsperrtes Smartphone haben. Erstellt man sich mittels Zusatz-App (z.B. Activity Launcher oder QuickShortcutMaker) oder Aktivitäten-Verknüpfung des Nova Launchers einen Schnellzugriff auf die Einstellungen des LastPass Authenticator, so landet man bei Ausführung direkt und ohne Sperre in den Einstellungen der App. Hier muss man dann  nur auf „Zurück“ klicken und schon landet man im Hauptbildschirm, wo die Codes für die jeweiligen mit der Zwei-Faktor-Authentifizierung gesicherten Dienste angezeigt und generiert werden.

Der Finder der Schwachstelle gab an, diese bereits Mitte Juni 2017 gemeldet zu haben. Am 7.Dezember gab es die Antwort, dass immer noch kein Update geschehen ist und dass man den Fall weiter untersuche. Zwischen dem 8.12 und dem 24.12 gab es auf die Information, dass man die Details publik machen werde, keine Antwort von LastPass.

Wie erwähnt: Der Angreifer müsste Zugriff auf das entsperrte Smartphone haben und da unter Umständen zusätzliche Apps installieren, um den Sperrmechanismus zu umgehen. Dennoch hätte es einfach für LastPass sein müssen, diesen Umweg zu sperren. Wer sich unsicher fühlt, der findet zahlreiche weitere OTP-Apps für Android im Google Play Store.


Über den Autor:

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 25722 Artikel geschrieben.