A confiança dos utilizadores nas apps que prometem manter as suas passwords e acesso seguros volta a ser posta em causa, com a revelação de que o LastPass Authenticator permite que qualquer app tenha acesso aos códigos "2-step" que gera.
Neste caso o que está em causa não é a app principal do LastPass, que guarda e faz a gestão das passwords dos utilizadores, mas o LastPass Authenticator - o programa que é utilizado para gerar os códigos de autenticação adicionais para serviços que implementem autenticação "2-factor". Infelizmente, este programa parece não conter as mesmas medidas de protecção que o programa principal, fazendo com que qualquer app instalada possa aceder aos códigos que estão a ser gerados por ele.
A app pode ser protegida com um código PIN ou impressão digital, mas o problema é que a mesma continua a disponibilizar o acesso directo às várias secções internas que disponibiliza. Isto permite que um atacante que use apps como o Activity Launcher ou QuickShortcutMaker possam saltar directamente para o ecrã de settings do programa e daí saltar para o ecrã dos códigos, dispensando a introdução do código PIN ou impressão digital.
Este ataque tanto poderá ser feito manualmente, como de forma automática por qualquer app que o utilizador tenha instalado no seu smartphone; e embora continue a ser necessário saber a password do serviço a que se quer aceder, faz com a suposta segurança dada pela autenticação 2-factor fique posta em causa.
Esta falha foi revelada à LastPass em Junho, mas mesmo depois da empresa ter confirmado a existência da mesma, continua por corrigir passados seis meses. Algo a ter em conta para uma app de um serviço que deveria levar bem a sério a segurança dos seus utilizadores.
Publicado originalmente no AadM
0 comments:
Enviar um comentário