Benutzt wer von euch die Android-App von LastPass zur Authentifizierung per Fingerabdrucksensor und Zwei-Faktor-Authentifizierung? Dann solltet ihr baldmöglichst updaten, denn die App lässt sich austricksen.
Ich finde es immer süß, wenn ich hier im Blog über Sicherheitsthemen, u.a. in Password-Safe-Apps berichte. Da gibt es bestimmt zwei Reaktionen: Wenn es Windows-Apps sind, wird gefragt: Wer ist die Quelle, ist das belegt, glaube ich nicht. Und es kommt: Also ich benutzt den Passwort-Manager xyz. Dabei zeigt eine Suche im Blog oder im Internet häufiger, dass auch diese Manager irgendwann mal gehackt wurden.
LastPass-Authenticator Android-App unsicher
Gerade bin ich bei hackernoon.com auf den Artikel LastPass’ Authenticator app is not secure gestoßen. Der Artikelautor hat einen einfachen Weg gefunden, die Fingerabdruck-/PIN-Authentifizierung der LastPass Authenticator-App, die alle Ihre 2FA-Codes schützt, auszuhebeln. Die LastPass Authenticator Android-App verwendet nicht den gleichen Schutzmechanismus, den LastPass in seinen anderen Password-Manager-Apps verwendet (z.B. Sperren im Leerlauf, Sperren auf dem Bildschirm, usw.).
Alles, was man braucht, ist ein Zugriff auf einzelne Aktivitäten („Screens“ von Apps). Das geht auch ohne root. Bei Android vor Android 8.0 (Oreo) reicht eine App wie den Adam Szalkowskis Activity Launcher. Ab Oreo lässt sich der QuickShortcutMaker von sika524 verwenden. Man muss Zugriff auf folgende Aktivität bekommen:
com.lastpass.authenticator.activities.SettingsActivity
(Quelle: hackernoon.com)
Öffnet man die die Einstellungsaktivität, gelangt man zu Einstellungsseite. Durch Drücken des Rückwärtspfeils oben links (oder der Zurück-Taste am Android-Gerät) gelangt man zur Hauptaktivität, wo die Zwei-Faktor-Authentifizierungs-2FA-Codes liegen. Man muss zu keinem Zeitpunkt eine Authentifizierung per PIN/Fingerprint eingeben um auf die Seite zuzugreifen.
Dieser mangelnde Schutz kann automatisiert werden, da es sich lediglich um eine Standard-Aktivitäten von Android handelt. Das funktioniert auch ohne Zugriff auf das Gerät, wenn eine Schad-App entsprechende Manipulationen durchführt.
Ein App-Update ist verfügbar
Der Fehler wurde am 28.12.2017 mit der Version 1.2.0.1145 der LastPass Authenticators-App behoben. Die App ist bereits veröffentlicht.
Ähnliche Artikel:
Windows 10: Unsicherer Passwort-Manager-App eingeschleust
Keeper Security verklagt Dan Goodin wegen Keeper-Artikel
OneLogin-Passwort-Manager gehackt
Finger weg von Android Passwort-Managern
Trojaner attackiert Passwort-Manager
LastPass: Bug ermöglicht Passwortklau
Sicherheits-Update für LastPass Kennwort-Manager
Windows 10: Hello-Anmeldung ausgehebelt?
„Dabei zeigt eine Suche im Blog oder im Internet häufiger, dass auch diese Manager irgendwann mal gehackt wurden.“
Ich nutze sowas auch. Entscheidend ist dabei für mich nur eines, nämlich das dies Ding lokal läuft und nicht in irgendeiner Cloud angebunden ist.
Das ist der Unsicherheitsfaktor in meinen Augen.
Das ein Angebot mal eine Lücke hat, stört mich mit lokal verwalteten Datenbanken erst mal überhaupt nicht. Bei Clouddaten ist dagegen halt nix sicher…
Für mich ist nur wichtig, das nicht jeder Hans und Franz direkt meine Passwörter lesen kann und ich einen Ort habe, an dem ich vergessene, selten genutzte Passwörter für Dienste mal nachschlagen kann.
Das alles früher oder später, oder auch nur mal mit Pech knackbar ist, sollte jedem bewusst sein.