LastPass to jeden z najpopularniejszych menadżerów haseł na całym rynku – korzystają z niego miliony użytkowników. Oprócz swojej głównej aplikacji, która przechowuje hasła użytkownika, firma oferuje również inne rozwiązania, które mają być pomocne przy zabezpieczaniu danych klienta, np. authenticator, który co pewien czas generuje losowe kody, które wymagane są, by zalogować się do danego serwisu. Niestety okazuje się, że cyberprzestępcy oraz osoby niepowołane mogą z łatwością uzyskać dostęp do wszystkich kodów bez autoryzacji za pomocą hasła lub odcisku palca. Jak to możliwe?
Authenticator nie jest tak dobrze chroniony jak inne aplikacje producenta
Aplikacja LastPass Authenticator przed niepowołanym dostępem chroniona jest za pomocą hasła lub odcisku palca. Okazuje się jednak, że dane te nie są potrzebne do odszyfrowania kodów uwierzytelniających, ponieważ członkowi społeczności Hackernoon o pseudonimie dylan udało się uzyskać do nich dostęp bez najmniejszego problemu w ciągu kilku minut. Sytuacja ta spowodowana jest faktem, że Authenticator nie posiada zabezpieczeń takich jak główny produkt LastPassa (np. automatyczne blokowanie dostępu do aplikacji, gdy użytkownik odłożył odblokowany telefon).
Jak uzyskać dostęp do Authenticatora?
W celu uzyskania dostępu do kodów uwierzytelniających danego użytkownika konieczny będzie fizyczny dostęp do urządzenia ofiary lub złośliwa aplikacja, która będzie posiadała uprawnienia konieczne do wykonania opisanych przeze mnie poniżej kroków. Po uzyskaniu dostępu do telefonu niefortunnego użytkownika należy zainstalować aplikację do zarządzania „aktywnościami” (z angielskiego activity) – co ważne, programy tego typu nie wymagają dostępu do roota. Poniżej przedstawiam Wam dwie najlepsze aplikacje tego typu:
- Android w wersji wcześniejszej niż Oreo – Activity Launcher.
- Android w wersji oreo – QuickShortcutMaker.
Kolejnym krokiem jest zlokalizowanie „aktywności” o nazwie com.lastpass.authenticator.activities.SettingsActivity. Po odnalezieniu jej w odpowiednim programie należy ją po prostu uruchomić, tak jak przedstawione jest to na poniższych zrzutach ekranu.
Dalszy proces uzyskiwania dostępu do kodów uwierzytelniających jest już banalnie prosty, ponieważ otworzona zostanie zakładka ustawień aplikacji LastPass Authenticator. W tym miejscu wystarczy wcisnąć przycisk cofania… i gotowe – program przekieruje nas do miejsca, gdzie generowane są wszystkie jednorazowe kody wymagane do logowania. Trzeba przyznać, że jest to przerażająco łatwy sposób.
Zobacz też: To groźne malware może zniszczyć Twój telefon!
Co robić, jak żyć?
Dylan 13 czerwca zgłosił odkryty błąd do LastPassa. Pomimo tego, że od kilku miesięcy podobno trwa „badanie problemu”, to do tej pory nie otrzymał on od działu pomocy żadnej wiadomości. Z tego powodu aktualnie nie jest zalecane korzystanie z aplikacji LastPass Authenticator – dużo lepszymi zamiennikami są m.in. Google Authenticator lub Duo (programy te są przede wszystkim bezpieczne). Jeśli jednak, z jakiejś przyczyny, musicie pozostać przy rozwiązaniu LastPassa, to zalecane jest zablokowanie dostępu do aplikacji za pomocą dobrego programu, takiego, jak chociażby App Lock od KeepSafe lub przy pomocy dostępnego rozwiązania systemowego. Bądźcie bezpieczni!
Źródło: Hackernoon