Sicherheitslücke in der LastPass-Authenticator-App

Für den beliebten Passwort-Manager LastPass hat der Hersteller eine Zusatz-App für Android veröffentlicht: LastPass Authenticator. Diese ermöglicht eine Zwei-Faktor-Authentifizierung für LastPass und andere, unterstützte Apps.

Diese App ist per PIN oder Fingerabdruckscanner gesichert. Wie der Programmierer Dylan herausgefunden hat, lässt sich das aber umgehen. Root-Zurgiff ist nicht nötig, es reicht eine kostenlose App wie Activity Launcher oder QuickShortcutMaker. Damit sucht man den Eintrag com.lastpass.authenticator. activities.SettingsActivity und startet ihn.

So landet man in den Einstellungen von LastPass Authenticator. Drückt man jetzt die Zurück-Taste, ist man im Hauptmenü und sieht dort die Codes für die Dienste und Apps, die mit der Zwei-Faktor-Authentifizierung gesichert sind.

Dylan zufolge lässt sich die Sicherheitslücke auch ohne physischen Zugriff auf ein entsperrtes Smartphone ausnutzen. Eine App mit versteckten Schadcode könnte sich über die selbe Methode Zugriff auf den Authenticator verschaffen und die Codes abgreifen.

Unwichtig für LastPass

Für LastPass scheint die Lücke bisher kein großes Problem darzustellen. Dylan meldete das Problem bereits im Juni. Als er Anfang Dezember nachfragte, wurde ihm gesagt, dass man das Problem noch untersuche. Er informierte LastPass darüber die Sicherheitslücke publik zu machen, erhielt daraufhin aber keine Reaktion.

Erst durch die Medienberichte und Fragen von besorgten Usern an LastPass, ließ sich das Unternehmen zu einer Reaktion hinreißen. „Wir evaluieren die Bedenken gründlich“, heißt es auf Twitter: „User die starke Passwörter verwenden, müssen derzeit keine Maßnahmen ergreifen.“

Eine Erklärung, warum innerhalb eines halben Jahres die Lücke nicht geschlossen wurde, gibt es von LastPass nicht.