S používateľmi, ktorí sa prihlasujú do stále väčšieho počtu online služieb, vznikla prirodzená potreba správcov hesiel. Používatelia sa ďalej prikláňajú k aplikáciám, ktoré dokážu zabezpečiť ich online identitu pomocou dvojfaktorovej autentifikácie. Ale aká by bola vaša reakcia, keby som vám to povedal LastPass Authenticator pre Android nie je úplne bezpečný?
Áno, čítate správne. Aplikácia LastPass Authenticator pre Android, ktorá sa používa na prihlásenie do LastPass a ďalších podporovaných aplikácií, má bezpečnostnú medzeru, ktorá umožňuje komukoľvek obísť autentifikáciu PIN alebo odtlačkom prsta ste použili na doplnenie bezpečnosti vašich 2FA kódov uložených v aplikácii.
Táto zraniteľnosť bola objavil od Dylana, programátora z Hacker Noon. Navrhol, že aplikácia Android pre správcu hesiel nepoužíva štandardy ochrany podobné jej vlajkovej aplikácii, ponechanie 2FA kódov prístupných cez jednotlivé aktivity na Androide. Dá sa k nemu dostať osobne, ako aj prostredníctvom vstrekovania škodlivého kódu a v aplikácii je prítomný od júna.
Ak chcete získať prístup ku kódom 2FA, nemusíte ani rootovať zariadenie a môžete k nemu pristupovať pomocou aplikácií, ako je Activity Launcher na zariadeniach starších ako Oreo a QuickShortcutMaker na Android Oreo. Ak si nainštalujete niektorú z týchto aplikácií, môžete prístup ‘com.lastpass.autenticator.aktivity. Nastavenia Aktivita a stlačte tlačidlo Späť, aby ste videli hlavnú aktivitu, kde ležali všetky 2FA kódy v celej svojej „nezabezpečenej“ kráse. Aplikácia LastPass Authenticator na iOS je úplne bezpečná a netrpí takouto bezpečnostnou medzerou.
Oficiálne vyhlásenie LastPass
Spoločnosť vydala oficiálne vyhlásenie prostredníctvom svojho účtu Support Twitter, kde uvádzajú, že sú uvedomujúc si bezpečnostné problémy s aplikáciou LastPass autentifikátor v systéme Android. To isté sa „dôkladne hodnotí“ a používatelia, ktorí používajú silné heslo, sa nemajú čoho báť.
Sme si vedomí obáv vznesených v súvislosti s aplikáciou Authenticator a dôkladne ich vyhodnocujeme.
Používatelia, ktorí naďalej používajú silné heslá, nemusia v tejto chvíli podnikať žiadne kroky.— Podpora LastPass (@LastPassHelp) 27. december 2017
Takže to jednoducho znamená, že pre vás, používateľov LastPass, bude lepšie buď prestať používať aplikáciu pre Android, alebo zatiaľ nahradiť slabšie heslá silnejšími. Čo si myslíte o tejto jednoduchej, ale zároveň o zraniteľnosti? Podeľte sa s nami o svoj názor v komentároch nižšie.
Odporúčané články
Trochu meškáte, už to opravili. Pozrite si blog LastPass.
Odpovedzte
