LastPass behebt Sicherheitsleck in Zwei-Faktor-Authentifizierung

LastPass schließt mit einer neuen Version von Authenticator, einer Zwei-Faktor-Authentifizierung für Android, ein Sicherheitsleck. Über einen Fehler konnten Bösartige Apps den Zugriffschutz umgehen und damit sämtliche Codes der Zwei-Faktoren-Authentifizierung auslesen. Diese Codes werden für die Anmeldung an Web-Diensten oder Web-Seiten generiert. Dafür sammelt Authenticator Anmeldeinformationen eines Nutzers und sichert diese.

Entdeckt hatte das Leck der Programmierer Dylan M., der mit der Veröffentlichung des Lecks knapp sechs Monate gewartet hatte. Nach der Veröffentlichung über Hackernoon hat LastPass nun mit einem Patch reagiert.

Laut Dylan verwendet Authenticator eine andere Prozedur wie der Password Manager von LastPass. Der Authenticator schließt sich damit nicht selbst ab, wenn er nicht verwendet oder wenn der Bildschirm des Gerätes inaktiv ist. Damit kann praktisch jeder auf die Codes der Sicherheitslösung zugreifen, sofern er Zugriff auf das Gerät hat.

In der Folge kann ein Angreifer die Anmeldeinformationen aus dem Zugriffsschutz extrahieren und statt dem Nutzer an der betreffenden Web-Seite anmelden. Damit ist der Schutz, den die Anwendung eigentlich verspricht, wirkungslos.

Wie „Dylan“ mitteilt, habe er LastPass zum ersten Mal am 13. Juni über das Leck informiert und danach noch weitere Male, jedoch keine Reaktion bekommen. Dann hatte der Entwickler die Informationen über das Leck selbst veröffentlicht. Kurze Zeit später hatte LastPass dann über Twitter darüber informiert, an einer Lösung des Problems zu arbeiten. Auch sollten Anwender, die sich bei Web-Diensten mit unterschiedlichen und starken Passwörtern anmelden, sich nicht zu sehr sorgen.

In einem Blog erklärt das Unternehmen, dass Nutzer, deren Gerät in jüngster Zeit gestohlen wurde, sich hier über die notwendigen Schritte informieren können.

Dank des Updates müssen Anwender jetzt stets entweder den PIN oder ihren Fingerabdruck angeben, um den einmaligen Code für das Anmelden an eine Web-Seite einsehen zu können.

LastPass erklärt auch, dass es unwahrscheinlich sei, dass dieser „Workaround“ ausgenutzt werde, denn es setze voraus, dass der Angreifer auf das Gerät zugreifen kann und dass der Angreifer die Anmeldeinformationen für einen Web-Service kennen muss. Eine Darstellung, der „Dylan“ widerspricht. Auch habe es zu keinem Zeitpunkt die Möglichkeit gegeben, dass ein Hacker auf den Generator der einmaligen Codes zugreifen kann.

LastPass verspricht auch eine Optimierung des Support-Prozesses. Weil der Bericht über das Leck nicht über das reguläre Bug-Bounty-Programm gemeldet worden sei, seien nicht die notwendigen Schritte eingeleitet worden. Künftig wolle man sicherstellen, dass solchen Berichten nachgegangen werde.