Suositussa salasanasovelluksessa aukko – salasanasi voivat vaarantua

Suositusta LastPass-salasanasovelluksesta on paljastunut vakava tietoturva-aukko, joka vaarantaa sovelluksen avulla suojatut salasanat, kertoo Android Authority.

LastPass Authenticator -sovelluksen avulla suojatut salasanat ja muut tiedot ovat vaarassa sovelluksen tietoturvasta löytyneiden puutteiden vuoksi. Havaittujen aukkojen takia on mahdollista ohittaa LastPassin käyttämä sormenjälki- tai PIN-koodilukitus kokonaan.

Päivitys 29.12. kello 9.35: LastPass on julkaissut haavoittuvuuden korjaavan päivityksen. ///

Hacker Noonin Dylan-niminen hakkeri keksi sovelluksen suojauksesta porsaanreiän, joka huomasi, että salattuun 2FA-koodiin pääsee käsiksi suoraan LastPassin Main activity -näytön kautta. Vakavaksi havainnon tekee se, että aktiviteettinäytölle pääsee helposti toista sovellusta hyödyntämällä, eikä missään vaiheessa tarvita sormenjälkitunnistusta tai PIN-koodin syöttämistä. Huojentavaa on kuitenkin, että LastPassilla suojattuun sisältöön murtautuminen ei onnistu niin sanotusti etänä, vaan vaatii pääsyä laitteelle, jolle sovellus on asennettu.

Dylan havaitsi ongelman LastPass Authenticatorissa jo tänä kesänä, mutta toi asian julkisuuteen vasta hiljattain. Lisäksi vaikuttaisi siltä, että ongelmaan ei vieläkään ole ratkaisua. Sovelluksen kehittäjätiimi on siitä huolimatta useaan otteeseen kommentoinut olevansa tietoinen tietoturvan puutteista ja työstävänsä ratkaisua vakuutellen samalla, että ”vahvoja salasanoja” käyttävien ei kuitenkaan tarvitse olla huolissaan.

LastPass-sovellusten tietoturvaongelmat koskevat näillä näkymin vain Android-laitteita, eikä vastaavasta ole raportoitu iOS-alustalla.