Eu já falei sobre este app aqui a algum tempo atrás. Tenho uma certa relação de amor e ódio com o Lastpass desde que foi comprado e sempre que aparece algum falha fico de olho pois ainda ( por pura preguiça ) tenho todas as minhas senhas no app.

E vale lembrar que o problema não é relacionado ao app de senhas e sim, ao app que gera códigos de autenticação tal qual temos hoje com o Google, no seu Authenticator. Portanto, caso você tenha senhas com a empresa fique calmo pois você não está passando por problemas.

Mas a falha que foi encontrada no aplicativo é um furo bem sério. A partir de uma técnica é possível ignorar qualquer autenticação de impressão digital ou PIN que você tenha configurado.

Esse buraco foi descoberto por Dylan que publicou isto no HackerNoon. E ele diz que tudo que é necessário para passar por cima do 2FA é o acesso a activities individuais

E nem é necessário root para que este processo seja levado a cabo já que Dylan diz que é possível usar um app como o Activity Launcher para dispositivos com o Android Nougat ou mais velho e o QuickShotcutMaker para quem está com o Oreo.

A Acitivitie que deve ser acessada é a “com.lastpass.authenticator.activities.SettingsActivity” . Assim que ela é acessada pressione o botão de back e podemos ver a Main Activitie que é onde temos todos os códigos 2FA.

O que é mais bizarro é que com isto nem é preciso fornecer a sua impressão digital ou número PIN para acessar a informação.

E o chato é que ele relatou este problema para a equipe do LastPass em junho com um representante de suporte da empresa dizendo que conseguia replicar o problema.

E o mais bizarro é que uma falha deste tamanho não recebeu nenhum prazo de solução por parte da empresa ( o que não é difícil de entender, levando-se em conta quem a comprou né … ).

Em dezembro ao contactar a empresa ele foi informado que o problema “ainda estava sendo investigado” e ele resolveu tornar tudo público …

Ou seja o problema existe realmente na aplicação do Lastpass e eles não estão nem aí para resolver o problema, dado a demora em resolver o problema.

O pessoal do Android Authority entrou em contato com a empresa que acabou soltando alguns comunicados oficiais visto a repercussão que a coisa alcançou.

Mas na minha opinião a emenda saiu pior que o soneto. Eles emitiram uma declaração oficial no Twitter sobre o assunt dizendo que a empresa está ciente do problema e o está avaliando completamente. O problema é que esta avaliação está demorando demais e coloca todos os usuários em grande risco.

Eles ressaltam também que os usuários que estejam usando senhas fortes não precisam fazer nada no momento mas … onde há falha, há um grande risco, concordam ?

Eu aconselharia a quem usa o app que pare de usar. Passe a usar o Authenticator do Google ou até o Authy que podem lhe dar o 2FA sem grandes problemas.

Até a empresa soltar um comunicado sério e oficial, eu acho que este é o melhor caminho.

Via Android Authority