LastPassの認証システムアプリは安全ではありません

更新:この問題は修正されました。以下をご覧ください。

すべての2FAコードを保護する指紋/ PIN認証をバイパスする非常に簡単な方法を見つけました。 LastPassによって作成されたAndroidアプリは、フラッグシップアプリが使用するのと同じ保護を使用していません(アイドル時のロック、画面のロックオフなど)。

必要なのは、個々のアクティビティ(アプリの「画面」)へのアクセスだけです。これらにアクセスするためにrootは必要ありません。オレオ以前は、AdamSzalkowskiのActivityLauncherなどのアプリを使用できます。または、Oreoを使用している場合は、sika524のQuickShortcutMakerを使用できます。

アクセスする必要のあるアクティビティは com.lastpass.authenticator.activities.SettingsActivity

設定アクティビティを開くと、設定ページが表示されます(サプライズ、サプライズ)。左上の戻る矢印(または戻る矢印ボタン)を押すと、2FAコードが配置されているメインアクティビティに移動します。このアクティビティにアクセスするためにPIN /指紋を提供する必要がないことに注意してください。

この保護の欠如は、単なる標準のAndroidアクティビティであるため、自動化できます。残念ながら、このアプリは脆弱性報奨金プログラムの対象外ですが、人々に知らせることが重要だと感じています。現在の最善の回避策は、OxygenOSに組み込まれているロッカーやKeepSafeのアプリロックなど、優れたアプリロッカーを使用することです。

(編集#1、27 / 12 7.30pm GMT):多くの人が、この欠陥には物理的なアクセスが必要だと言っています。ただし、上記で指摘したように、物理的なアクセスは必要ありません。悪意を持ってインストールされたアプリケーションは、アクティビティに簡単にアクセスしてコードをキャプチャできます。)

(編集#2、28 / 12 4.50pm GMT):バグはバージョン1.2.0.1145で修正されており、まもなくリリースされます。この記事を共有してサポートを提供していただきありがとうございます。問題を解決してくれたLastPassに感謝します。)

責任ある開示のタイムライン:

2017年6月13日:LastPassのサポートに証拠とともに報告されました。 LPのJedは、問題を再現できることを確認しました

6月20日:ETAを求めるフォローアップ。サポートはETAがないことを確認します

12月7日:フォローアップ、チケットは「レベル3サポート」にプッシュされました。 LPのJohnnyは、更新がなく、「まだ調査中」であることを確認しています。

12月8日:詳細を公開することをサポートに通知しましたが、応答がありませんでした。