Приложение LastPass Authenticator для Android, созданное разработчиками одноименного сервиса для осуществления двухфакторной аутентификации при входе в аккаунт, оказалось слабозащищенным. В этом убедился пользователь платформы Medium под ником dylan, опубликовавший краткую инструкцию для «кражи» временных кодов подтверждения.
Для того, чтобы получить доступ к хранилищу временных паролей, не нужны права суперпользователя. Достаточно скачать любую из программ, запускающих активити (скрытые действия) установленных на устройстве приложений. Пользователь под ником dylan рекомендует владельцам смартфонов на Android 8.0 Oreo и новее использовать утилиту QuickShortcutMaker, а всем остальным — Activity Launcher. Используя вышеописанные приложения, пользователю достаточно отыскать активити под названием com.lastpass.authenticator.activities.SettingsActivity. После осуществления вышеописанных действий пользователь увидит временные пароли, сгенерированные приложением LastPass Authenticator.
Данная уязвимость позволяет узнать лишь временные коды, используемые при входе в аккаунт LastPass с двухфакторной аутентификацией. Чтобы получить доступ непосредственно к учетной записи, злоумышленникам потребуется знать еще логин и пароль конкретного пользователя.
