Suositusta LastPass Authenticator -sovelluksesta on paljastunut vakava tietoturva-aukko, kertoo Android Authority.
LastPass Authenticator -sovellus mahdollistaa esimerkiksi LastPass-salasanasovelluksen suojaamisen kaksiosaisella tunnistautumisella. LastPass Authenticator -sovelluksesta havaittujen aukkojen takia on mahdollista saada haltuunsa sovelluksen käyttämään, kaksivaiheiseen tunnistautumiseen vaadittavat kertakäyttöiset salasanat.
Päivitys 29.12. kello 8.27: LastPass on julkaissut haavoittuvuuden korjaavan päivityksen. ///
MAINOS (ARTIKKELI JATKUU ALLA)
Hacker Noonin Dylan-niminen hakkeri keksi sovelluksen suojauksesta porsaanreiän. Salattuihin 2FA-koodeihin pääsee käsiksi suoraan LastPassin Main activity -näytön kautta. Vaikka koodeilla ei yksinään mitään teekään, on havainto vakava, sillä aktiviteettinäyttöön pääsee toisia sovelluksia hyödyntämällä. Huojentavaa on kuitenkin, että yksinään 2FA-koodit eivät riitä LastPassin suojauksen murtamiseen, vaan siihen vaaditaan myös muita kirjautumistietoja.
Dylan havaitsi ongelman LastPass Authenticatorissa jo tänä kesänä, mutta toi asian julkisuuteen vasta hiljattain. Lisäksi vaikuttaisi siltä, että ongelmaan ei vieläkään ole ratkaisua. Sovelluksen kehittäjätiimi on siitä huolimatta useaan otteeseen kommentoinut olevansa tietoinen tietoturvan puutteista ja työstävänsä ratkaisua vakuutellen samalla, että ”vahvoja salasanoja” käyttävien ei kuitenkaan tarvitse olla huolissaan.
LastPass Authenticator -sovellusten tietoturvaongelmat koskevat näillä näkymin vain Android-laitteita, eikä vastaavasta ole raportoitu iOS-alustalla.
Mainos: Jätä tästä yhteydenottopyyntö DNA:lle ja voit voittaa iPhone 12 Pro Maxin!
Salasana hukassa?
Etkö ole vielä rekisteröitynyt? Rekisteröidy tästä »