LastPass Authenticator-update lost grote kwetsbaarheid op
Thomas Haenen

Programmeurs hebben een kwetsbaarheid in LastPass Authenticator ontdekt, waarmee kwaadwillenden makkelijk toegang krijgen tot je tweefactorauthenticatiecodes. Dit is wat je kunt doen.

LastPass Authenticator hack ontdekt

Met alleen een ingewikkeld wachtwoord ben je tegenwoordig vaak nog lang niet veilig genoeg. Mocht iemand dat wachtwoord weten te achterhalen, dan is je bankrekening, e-mail of andere gevoelige informatie immers alsnog kwetsbaar.

[Update 29 december: LastPass heeft inmiddels het probleem erkend, en een update vrijgegeven die de kwetsbaarheid oplost. Na installatie is het niet meer mogelijk om het loginscherm te omzeilen. LastPass claimt dat er niemand getroffen is door het lek, maar het is raadzaam deze update toch zo snel mogelijk te installeren. ]

Daarom bieden steeds meer websites en diensten tweefactorauthenticatie, of 2fa. Naast een wachtwoord krijg je dan ook een unieke code die slechts kort geldig is. Die codes ontvang je als sms-bericht of via apps als Authy of LastPass Authenticator. In theorie zijn die codes alleen zichtbaar op je eigen smartphone, waardoor het een stuk moeilijker is om in te breken. Helaas blijkt die laatste app makkelijk te kraken.

Zo kraak je LastPass Authenticator

De meeste wachtwoordbeheer-apps vereisen dat je elke keer opnieuw inlogt nadat de app gesloten wordt. Ook LastPass zelf werkt op deze wijze. Wel zo handig, want zo voorkom je dat iemand makkelijk toegang heeft tot al je wachtwoorden. Bij LastPass Authenticator, een app die verificatiecodes genereert, ontbreekt die beveiliging echter deels. Dat ontdekte een programmeur, die zijn bevindingen deelde via Hackernoon.

LastPass Authenticator hack

Daarvoor heb je enkel een activiteiten-app nodig, gratis in de Play Store te vinden. Deze bieden gewoonlijk inzicht in de verschillende onderdelen van andere apps, en laten je snelkoppelingen instellen naar andere functies. In dit geval laten ze je echter ook de beveiliging omzeilen. Gebruik je bijvoorbeeld QuickShortcutMaker, dan kun je een snelkoppeling naar de instellingen van LastPass Authenticator aanmaken. Open je die, dan wordt nergens om een wachtwoord gevraagd. Wel heb je direct toegang tot al je tweestapsverificatiecodes.

Gebruik voorlopig een andere 2fa-app

Directe toegang tot het apparaat is geen vereiste om deze kwetsbaarheid uit te buiten. Sommige gevaarlijke Android-apps kunnen op afstand meekijken, en zo je codes bemachtigen. Kwaadwillenden kunnen dus zowel je wachtwoord als je codes met weinig moeite stelen. Aangeraden wordt om voorlopig geen LastPass Authenticator te gebruiken, en een alternatieve app zoals Google Authenticator of Authy te installeren.

De programmeur zegt het probleem al in juni te hebben aangekaart bij LastPass. Ook na meerdere malen aandringen heeft de ontwikkelaar volgens hem niets met het probleem gedaan. Om LastPass te dwingen aan een oplossing te werken, heeft hij de kwetsbaarheid nu openbaar gedeeld.

Tip: zo stel je tweestapsverificatie in met Authy

Beveiliging is al jaren een heikel punt van Android, maar in 2017 ging het meerdere keren flink fout. Zo doken er regelmatig gevaarlijke apps op in de Play Store en werden er kwetsbaarheden ontdekt in wifi, bluetooth en andere essentiële onderdelen van smartphones. Hoewel Google inmiddels maandelijks beveiligingsupdates vrijgeeft die bescherming bieden, brengen fabrikanten deze lang niet voor alle smartphones uit. Daardoor is het helaas veelal aan de gebruiker om zeer zorgvuldig met gevoelige gegevens om te gaan.

Lees het laatste nieuws over Android

Draag ook bij aan dit artikel

Deel je kennis of stel een vraag. Dat kan anoniem of met een Disqus account.