LastPass Authenticator: Sperre lässt sich einfach umgehen

Der LastPass Authenticator ist eine separate Android-App des Anbieters LastPass, mit der Nutzer Codes für die Zwei-Faktor-Authentifizierung erstellen können – entweder mit LastPass-Account – oder ohne. Mit der App kann man arbeiten wie mit dem Google Authenticator oder Authy. Bei der Einrichtung QR-Codes abfotografieren und später dann Codes generieren lassen, die man für die Zwei-Faktor-Authentifizierung benötigt. Die App lässt sich sperren per Fingerabdruck oder Pin – und jenes lässt sich super einfach umgehen, wie ich selber mal vor diesem Beitrag nachvollzogen habe.

Vorab gebe ich aber zu bedenken, dass man natürlich schauen muss, wie realistisch die Ausnutzung ist. Der Angreifer müsste Zugriff auf euer entsperrtes Smartphone haben. Erstellt man sich mittels Zusatz-App (z.B. Activity Launcher oder QuickShortcutMaker) oder Aktivitäten-Verknüpfung des Nova Launchers einen Schnellzugriff auf die Einstellungen des LastPass Authenticator, so landet man bei Ausführung direkt und ohne Sperre in den Einstellungen der App. Hier muss man dann  nur auf „Zurück“ klicken und schon landet man im Hauptbildschirm, wo die Codes für die jeweiligen mit der Zwei-Faktor-Authentifizierung gesicherten Dienste angezeigt und generiert werden.

Der Finder der Schwachstelle gab an, diese bereits Mitte Juni 2017 gemeldet zu haben. Am 7.Dezember gab es die Antwort, dass immer noch kein Update geschehen ist und dass man den Fall weiter untersuche. Zwischen dem 8.12 und dem 24.12 gab es auf die Information, dass man die Details publik machen werde, keine Antwort von LastPass.

Wie erwähnt: Der Angreifer müsste Zugriff auf das entsperrte Smartphone haben und da unter Umständen zusätzliche Apps installieren, um den Sperrmechanismus zu umgehen. Dennoch hätte es einfach für LastPass sein müssen, diesen Umweg zu sperren. Wer sich unsicher fühlt, der findet zahlreiche weitere OTP-Apps für Android im Google Play Store.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

4 Kommentare

  1. Smartphone-Diebe sind für so ein Szenario einfach zu dumm. Sorry. Ich sehe daher für normale User keine Gefahr.

  2. Beim Microsoft Authenticator gibt es so eine Sperre gar nicht und der Google Authenticator hat dieses „Feature“ glaube ich auch nicht. Diese Suppe wird mal wieder heißer gekocht als sie gegessen wird.

  3. Deliberation says:

    Naja, eine Unverschämtheit ist es von Lastpass schon, einfach nicht zu reagieren. Gerade Firmen, die sich auf Sicherheit spezialisiert haben, sollten nicht nur dankbar für solche Hinweise, sondern auch sehr reaktiv sein. Wenn sie das nicht sind, stärkt das nicht gerade das Vertrauen in die Dienste dieser Firma.

  4. Bei LastPass wird auf meinen mobilen Internetseiten im Android Firefox Browser keine Passwörter in die Formularfelder eingefüllt., bei allen anderen Seiten im Desktop Firefox Browser und auch in den Apps funktioniert LastPass wohl. Irgendwie sind diese Einschränkungen seit dem letzten Firefox (v. 57) Update erst entstanden. Nächstes Jahr, wenn das Abo abgelaufen ist, muss ich mich nach einer Alternative mal umschauen. Keepass würde auf teltarif.de ja vorgestellt.

Es kann einen Augenblick dauern, bis dein Kommentar erscheint.