LastPass behebt Sicherheitsleck in Zwei-Faktor-Authentifizierung

LastPass schließt mit einer neuen Version von Authenticator, einer Zwei-Faktor-Authentifizierung für Android, ein Sicherheitsleck. Über einen Fehler konnten Bösartige Apps den Zugriffschutz umgehen und damit sämtliche Codes der Zwei-Faktoren-Authentifizierung auslesen. Diese Codes werden für die Anmeldung an Web-Diensten oder Web-Seiten generiert. Dafür sammelt Authenticator Anmeldeinformationen eines Nutzers und sichert diese.

LastPass Authenticator schließt mit der neuen Version ein Sicherheitsleck (Screenshot: ZDNet.de).

Entdeckt hatte das Leck der Programmierer Dylan M., der mit der Veröffentlichung des Lecks knapp sechs Monate gewartet hatte. Nach der Veröffentlichung über Hackernoon hat LastPass nun mit einem Patch reagiert.

Laut Dylan verwendet Authenticator eine andere Prozedur wie der Password Manager von LastPass. Der Authenticator schließt sich damit nicht selbst ab, wenn er nicht verwendet oder wenn der Bildschirm des Gerätes inaktiv ist. Damit kann praktisch jeder auf die Codes der Sicherheitslösung zugreifen, sofern er Zugriff auf das Gerät hat.

In der Folge kann ein Angreifer die Anmeldeinformationen aus dem Zugriffsschutz extrahieren und statt dem Nutzer an der betreffenden Web-Seite anmelden. Damit ist der Schutz, den die Anwendung eigentlich verspricht, wirkungslos.

Wie „Dylan“ mitteilt, habe er LastPass zum ersten Mal am 13. Juni über das Leck informiert und danach noch weitere Male, jedoch keine Reaktion bekommen. Dann hatte der Entwickler die Informationen über das Leck selbst veröffentlicht. Kurze Zeit später hatte LastPass dann über Twitter darüber informiert, an einer Lösung des Problems zu arbeiten. Auch sollten Anwender, die sich bei Web-Diensten mit unterschiedlichen und starken Passwörtern anmelden, sich nicht zu sehr sorgen.

In einem Blog erklärt das Unternehmen, dass Nutzer, deren Gerät in jüngster Zeit gestohlen wurde, sich hier über die notwendigen Schritte informieren können.

Dank des Updates müssen Anwender jetzt stets entweder den PIN oder ihren Fingerabdruck angeben, um den einmaligen Code für das Anmelden an eine Web-Seite einsehen zu können.

LastPass erklärt auch, dass es unwahrscheinlich sei, dass dieser „Workaround“ ausgenutzt werde, denn es setze voraus, dass der Angreifer auf das Gerät zugreifen kann und dass der Angreifer die Anmeldeinformationen für einen Web-Service kennen muss. Eine Darstellung, der „Dylan“ widerspricht. Auch habe es zu keinem Zeitpunkt die Möglichkeit gegeben, dass ein Hacker auf den Generator der einmaligen Codes zugreifen kann.

LastPass verspricht auch eine Optimierung des Support-Prozesses. Weil der Bericht über das Leck nicht über das reguläre Bug-Bounty-Programm gemeldet worden sei, seien nicht die notwendigen Schritte eingeleitet worden. Künftig wolle man sicherstellen, dass solchen Berichten nachgegangen werde.

Martin Schindler

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

3 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

4 Tagen ago