![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/android.jpg\")
Benutzt wer von euch die Android-App von LastPass zur Authentifizierung per Fingerabdrucksensor und Zwei-Faktor-Authentifizierung? Dann solltet ihr baldm\u00f6glichst updaten, denn die App l\u00e4sst sich austricksen.<\/p>\nBenutzt wer von euch die Android-App von LastPass zur Authentifizierung per Fingerabdrucksensor und Zwei-Faktor-Authentifizierung? Dann solltet ihr baldm\u00f6glichst updaten, denn die App l\u00e4sst sich austricksen.<\/p>\n
<\/p>\n
Ich finde es immer s\u00fc\u00df, wenn ich hier im Blog \u00fcber Sicherheitsthemen, u.a. in Password-Safe-Apps berichte. Da gibt es bestimmt zwei Reaktionen: Wenn es Windows-Apps sind, wird gefragt: Wer ist die Quelle, ist das belegt, glaube ich nicht. Und es kommt: Also ich benutzt den Passwort-Manager xyz. Dabei zeigt eine Suche im Blog oder im Internet h\u00e4ufiger, dass auch diese Manager irgendwann mal gehackt wurden.<\/p>\n
Gerade bin ich bei hackernoon.com auf den Artikel LastPass' Authenticator app is not secure<\/a> gesto\u00dfen. Der Artikelautor hat einen einfachen Weg gefunden, die Fingerabdruck-\/PIN-Authentifizierung der LastPass Authenticator-App<\/a>, die alle Ihre 2FA-Codes sch\u00fctzt, auszuhebeln. Die LastPass Authenticator Android-App verwendet nicht den gleichen Schutzmechanismus, den LastPass in seinen anderen Password-Manager-Apps verwendet (z.B. Sperren im Leerlauf, Sperren auf dem Bildschirm, usw.).<\/p>\n Alles, was man braucht, ist ein Zugriff auf einzelne Aktivit\u00e4ten (\"Screens\" von Apps). Das geht auch ohne root. Bei Android vor Android 8.0 (Oreo) reicht eine App wie den Adam Szalkowskis Activity Launcher. Ab Oreo l\u00e4sst sich der QuickShortcutMaker von sika524 verwenden. Man muss Zugriff auf folgende Aktivit\u00e4t bekommen:<\/p>\n com.lastpass.authenticator.activities.SettingsActivity<\/em><\/p>\n \u00d6ffnet man die die Einstellungsaktivit\u00e4t, gelangt man zu Einstellungsseite. Durch Dr\u00fccken des R\u00fcckw\u00e4rtspfeils oben links (oder der Zur\u00fcck-Taste am Android-Ger\u00e4t) gelangt man zur Hauptaktivit\u00e4t, wo die Zwei-Faktor-Authentifizierungs-2FA-Codes liegen. Man muss zu keinem Zeitpunkt eine Authentifizierung per PIN\/Fingerprint eingeben um auf die Seite zuzugreifen.<\/p>\n Dieser mangelnde Schutz kann automatisiert werden, da es sich lediglich um eine Standard-Aktivit\u00e4ten von Android handelt. Das funktioniert auch ohne Zugriff auf das Ger\u00e4t, wenn eine Schad-App entsprechende Manipulationen durchf\u00fchrt.<\/p>\n Der Fehler wurde am 28.12.2017 mit der Version 1.2.0.1145 der LastPass Authenticators-App<\/a> behoben. Die App ist bereits ver\u00f6ffentlicht. <\/p>\n \u00c4hnliche Artikel:<\/strong> Benutzt wer von euch die Android-App von LastPass zur Authentifizierung per Fingerabdrucksensor und Zwei-Faktor-Authentifizierung? Dann solltet ihr baldm\u00f6glichst updaten, denn die App l\u00e4sst sich austricksen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,1440,426],"tags":[4308,4346,4167,4328],"class_list":["post-199087","post","type-post","status-publish","format-standard","hentry","category-android","category-app","category-sicherheit","tag-android","tag-app","tag-lastpass","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/199087","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=199087"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/199087\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=199087"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=199087"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=199087"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"Aktivitäten\"](\"https:\/\/cdn-images-1.medium.com\/max\/1600\/1*ctjNh5yGnUxoI6JqIRse2A.jpeg\" "\\"Aktivitäten\\"")
<\/em>(Quelle: hackernoon.com)<\/p>\nEin App-Update ist verf\u00fcgbar<\/h2>\n
Windows 10: Unsicherer Passwort-Manager-App eingeschleust<\/a>
Keeper Security verklagt Dan Goodin wegen Keeper-Artikel<\/a>
OneLogin-Passwort-Manager gehackt<\/a>
Finger weg von Android Passwort-Managern<\/a>
Trojaner attackiert Passwort-Manager<\/a>
LastPass: Bug erm\u00f6glicht Passwortklau<\/a>
Sicherheits-Update f\u00fcr LastPass Kennwort-Manager<\/a>
Windows 10: Hello-Anmeldung ausgehebelt?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"