LastPass Authenticator: Entwickler reagiert auf Umgehen der App-Sperre mit Update

Na endlich! Wie nun gerade erst von Caschy berichtet, gibt es seit mindestens Juni 2017 einen Workaround, mit dem sich die Sperre der LastPass-TOTP-App relativ simpel umgehen lässt und dem Angreifer anschließend vollen Zugriff auf die dort hinterlegten Codes gibt. Simpel allerdings auch nur dann, wenn der Angreifer auch wirklich Zugriff auf das entsperrte Smartphone hat und parallel eine notwendige Zusatz-App installieren kann. Wie bereits erwähnt, sei diese Lücke dem Entwickler bereits im Juni dieses Jahres gemeldet worden.In einem nun veröffentlichten Beitrag informiert der Entwickler darüber, dass diese Meldung anscheinend deswegen untergegangen ist, weil eben jene nicht über das laufende Bug Bounty-Programm gemeldet wurde. Finde ich persönlich schon ein wenig seicht als Erklärung.

Bisher hatte der Entwickler auch nicht sonderlich umfangreich geantwortet, inwieweit denn bald mit einem Update zu rechnen sei. Nur, dass die Schwachstelle weiter untersucht werde. Nun ja – entsprechendes Update ist nun nach allerlei Medienecho am Ende doch endlich verfügbar und soll die Lücke komplett schließen, heißt es.

Es sei zu keiner Zeit möglich gewesen, mit den einsehbaren Codes ohne weitere Zugangsdaten Schabernack zu treiben. „At no time did the identified workaround allow access to the TOTP secrets used to generate the one-time codes.“ Man habe allerdings den bisherigen Meldeprozess für gefundene Sicherheitslücken anpassen müssen, so der Entwickler.

TL;DR: LastPass Authenticator-Lücke wurde gemeldet und nun ist auch ein entsprechendes Update verfügbar, dass diese schließt.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Blogger, stolzer Ehemann und passionierter Dad aus dem Geestland. Quasi-Nachbar vom Caschy (ob er mag oder nicht ;D ), mit iOS und Android gleichermaßen glücklich und außerdem zu finden auf Twitter und Google+. PayPal-Kaffeespende an den Autor. Mail: benjamin@caschys.blog

4 Kommentare

  1. Was heißt hier na endlich? Das ganze wurde heißer gekocht als überhaupt war und im übrigen finde ich es schreckend wie in den Blogs mit erhoben Zeigefinger herumgelaufen wird, so als wenn man es besser weiss als die Hersteller selbst.

  2. @angel: diese Blogs tragen durch ihre Berichterstattung auch zu deiner Sicherheit bei. Was die App angeht, hätte sie mein Vertrauen vollkommen verloren, wenn das Team dahinter so lange für ein Update braucht.

  3. Typisch Lastpass halt. In Sachen Sicherheit eine einzige Katastrophe, schon immer.

    https://www.google.de/search?source=hp&q=lastpass+vulnerability

  4. @Bob
    Das ist der Witz des Jahres.

Es kann einen Augenblick dauern, bis dein Kommentar erscheint.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung.