Vorab gebe ich aber zu bedenken, dass man natürlich schauen muss, wie realistisch die Ausnutzung ist. Der Angreifer müsste Zugriff auf euer entsperrtes Smartphone haben. Erstellt man sich mittels Zusatz-App (z.B. Activity Launcher oder QuickShortcutMaker) oder Aktivitäten-Verknüpfung des Nova Launchers einen Schnellzugriff auf die Einstellungen des LastPass Authenticator, so landet man bei Ausführung direkt und ohne Sperre in den Einstellungen der App. Hier muss man dann nur auf „Zurück“ klicken und schon landet man im Hauptbildschirm, wo die Codes für die jeweiligen mit der Zwei-Faktor-Authentifizierung gesicherten Dienste angezeigt und generiert werden.
Der Finder der Schwachstelle gab an, diese bereits Mitte Juni 2017 gemeldet zu haben. Am 7.Dezember gab es die Antwort, dass immer noch kein Update geschehen ist und dass man den Fall weiter untersuche. Zwischen dem 8.12 und dem 24.12 gab es auf die Information, dass man die Details publik machen werde, keine Antwort von LastPass.
Wie erwähnt: Der Angreifer müsste Zugriff auf das entsperrte Smartphone haben und da unter Umständen zusätzliche Apps installieren, um den Sperrmechanismus zu umgehen. Dennoch hätte es einfach für LastPass sein müssen, diesen Umweg zu sperren. Wer sich unsicher fühlt, der findet zahlreiche weitere OTP-Apps für Android im Google Play Store.