2017/12/28

Last Pass Authenticator permite que qualquer app roube os códigos de autenticação


A confiança dos utilizadores nas apps que prometem manter as suas passwords e acesso seguros volta a ser posta em causa, com a revelação de que o LastPass Authenticator permite que qualquer app tenha acesso aos códigos "2-step" que gera.

Neste caso o que está em causa não é a app principal do LastPass, que guarda e faz a gestão das passwords dos utilizadores, mas o LastPass Authenticator - o programa que é utilizado para gerar os códigos de autenticação adicionais para serviços que implementem autenticação "2-factor". Infelizmente, este programa parece não conter as mesmas medidas de protecção que o programa principal, fazendo com que qualquer app instalada possa aceder aos códigos que estão a ser gerados por ele.

A app pode ser protegida com um código PIN ou impressão digital, mas o problema é que a mesma continua a disponibilizar o acesso directo às várias secções internas que disponibiliza. Isto permite que um atacante que use apps como o Activity Launcher ou QuickShortcutMaker possam saltar directamente para o ecrã de settings do programa e daí saltar para o ecrã dos códigos, dispensando a introdução do código PIN ou impressão digital.


Este ataque tanto poderá ser feito manualmente, como de forma automática por qualquer app que o utilizador tenha instalado no seu smartphone; e embora continue a ser necessário saber a password do serviço a que se quer aceder, faz com a suposta segurança dada pela autenticação 2-factor fique posta em causa.

Esta falha foi revelada à LastPass em Junho, mas mesmo depois da empresa ter confirmado a existência da mesma, continua por corrigir passados seis meses. Algo a ter em conta para uma app de um serviço que deveria levar bem a sério a segurança dos seus utilizadores.

3 comentários:

  1. Até prova em contrário, não tenho motivos para dúvida do keepass que uso há muitos anos e recomendo.

    ResponderEliminar
  2. Pelo que percebi do que li no link do post, a falha apenas ocorria na aplicação para Android e já foi corrigida (mas acho que a mesma ainda não está disponível publicamente).

    ResponderEliminar
  3. Dizem que o bug já foi corrigido, bastará atualizar para a versão 1.2.0.1145 para deixar de haver este problema

    ResponderEliminar