LastPass Authenticator: Entwickler reagiert auf Umgehen der App-Sperre mit Update
Na endlich! Wie nun gerade erst von Caschy berichtet, gibt es seit mindestens Juni 2017 einen Workaround, mit dem sich die Sperre der LastPass-TOTP-App relativ simpel umgehen lässt und dem Angreifer anschließend vollen Zugriff auf die dort hinterlegten Codes gibt. Simpel allerdings auch nur dann, wenn der Angreifer auch wirklich Zugriff auf das entsperrte Smartphone hat und parallel eine notwendige Zusatz-App installieren kann. Wie bereits erwähnt, sei diese Lücke dem Entwickler bereits im Juni dieses Jahres gemeldet worden.In einem nun veröffentlichten Beitrag informiert der Entwickler darüber, dass diese Meldung anscheinend deswegen untergegangen ist, weil eben jene nicht über das laufende Bug Bounty-Programm gemeldet wurde. Finde ich persönlich schon ein wenig seicht als Erklärung.
Bisher hatte der Entwickler auch nicht sonderlich umfangreich geantwortet, inwieweit denn bald mit einem Update zu rechnen sei. Nur, dass die Schwachstelle weiter untersucht werde. Nun ja – entsprechendes Update ist nun nach allerlei Medienecho am Ende doch endlich verfügbar und soll die Lücke komplett schließen, heißt es.
Es sei zu keiner Zeit möglich gewesen, mit den einsehbaren Codes ohne weitere Zugangsdaten Schabernack zu treiben. „At no time did the identified workaround allow access to the TOTP secrets used to generate the one-time codes.“ Man habe allerdings den bisherigen Meldeprozess für gefundene Sicherheitslücken anpassen müssen, so der Entwickler.
TL;DR: LastPass Authenticator-Lücke wurde gemeldet und nun ist auch ein entsprechendes Update verfügbar, dass diese schließt.
Was heißt hier na endlich? Das ganze wurde heißer gekocht als überhaupt war und im übrigen finde ich es schreckend wie in den Blogs mit erhoben Zeigefinger herumgelaufen wird, so als wenn man es besser weiss als die Hersteller selbst.
@angel: diese Blogs tragen durch ihre Berichterstattung auch zu deiner Sicherheit bei. Was die App angeht, hätte sie mein Vertrauen vollkommen verloren, wenn das Team dahinter so lange für ein Update braucht.
Typisch Lastpass halt. In Sachen Sicherheit eine einzige Katastrophe, schon immer.
https://www.google.de/search?source=hp&q=lastpass+vulnerability
@Bob
Das ist der Witz des Jahres.