LastPass Authenticator: Entwickler reagiert auf Umgehen der App-Sperre mit Update

Na endlich! Wie nun gerade erst von Caschy berichtet, gibt es seit mindestens Juni 2017 einen Workaround, mit dem sich die Sperre der LastPass-TOTP-App relativ simpel umgehen lässt und dem Angreifer anschließend vollen Zugriff auf die dort hinterlegten Codes gibt. Simpel allerdings auch nur dann, wenn der Angreifer auch wirklich Zugriff auf das entsperrte Smartphone hat und parallel eine notwendige Zusatz-App installieren kann. Wie bereits erwähnt, sei diese Lücke dem Entwickler bereits im Juni dieses Jahres gemeldet worden.In einem nun veröffentlichten Beitrag informiert der Entwickler darüber, dass diese Meldung anscheinend deswegen untergegangen ist, weil eben jene nicht über das laufende Bug Bounty-Programm gemeldet wurde. Finde ich persönlich schon ein wenig seicht als Erklärung.

Bisher hatte der Entwickler auch nicht sonderlich umfangreich geantwortet, inwieweit denn bald mit einem Update zu rechnen sei. Nur, dass die Schwachstelle weiter untersucht werde. Nun ja – entsprechendes Update ist nun nach allerlei Medienecho am Ende doch endlich verfügbar und soll die Lücke komplett schließen, heißt es.

Es sei zu keiner Zeit möglich gewesen, mit den einsehbaren Codes ohne weitere Zugangsdaten Schabernack zu treiben. „At no time did the identified workaround allow access to the TOTP secrets used to generate the one-time codes.“ Man habe allerdings den bisherigen Meldeprozess für gefundene Sicherheitslücken anpassen müssen, so der Entwickler.

TL;DR: LastPass Authenticator-Lücke wurde gemeldet und nun ist auch ein entsprechendes Update verfügbar, dass diese schließt.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Nordlicht, Ehemann und Vater. Technik-verliebt und lebt fürs Bloggen. Außerdem: PayPal-Kaffeespende an den Autor. Mail: benjamin@caschys.blog / Mastodon

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

4 Kommentare

  1. Was heißt hier na endlich? Das ganze wurde heißer gekocht als überhaupt war und im übrigen finde ich es schreckend wie in den Blogs mit erhoben Zeigefinger herumgelaufen wird, so als wenn man es besser weiss als die Hersteller selbst.

  2. @angel: diese Blogs tragen durch ihre Berichterstattung auch zu deiner Sicherheit bei. Was die App angeht, hätte sie mein Vertrauen vollkommen verloren, wenn das Team dahinter so lange für ein Update braucht.

  3. Typisch Lastpass halt. In Sachen Sicherheit eine einzige Katastrophe, schon immer.

    https://www.google.de/search?source=hp&q=lastpass+vulnerability

  4. @Bob
    Das ist der Witz des Jahres.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.