Nonostante sia considerato il sistema più sicuro al mondo per salvaguardare i dati degli account online, l’autenticazione a due fattori mediante un’app token deve fare i conti non tanto con la sicurezza della crittografia o del sistema in generale quanto con quella dell’app stessa. Un esempio concreto lo troviamo con LastPass Authenticator, che dal punto di vista tecnico è impeccabile ma che ha al suo interno una vulnerabilità che ne mina la sicurezza.
La vulnerabilità è in realtà piuttosto semplice. Apparentemente, lanciando l’attività delle impostazioni di LastPass Authenticator, è possibile accedere al riquadro delle impostazioni per l’app senza dover fornire un PIN o un’impronta digitale. Da lì, si è un solo tocco indietro per accedere ai codici 2FA. Dal momento che questa attività può essere avviata da qualsiasi app, l’accesso fisico al telefono non sarebbe nemmeno necessario.
Paradossalmente LastPass è a conoscenza di questo difetto da 7 mesi. Fortunatamente gli sviluppatori di LastPass Authenticator sono corsi ai ripari dopo ripetute segnalazioni ed hanno sistemato il problema.
L’app LastPass Authenticator offre agli utenti la possibilità di richiedere un’impronta digitale e / o un PIN per aprire l’app, offrendo un ulteriore livello di sicurezza in caso di perdita del telefono mentre era sbloccato. LastPass Authenticator è una delle uniche app di autenticazione a più fattori che offre questa protezione extra su iOS e Android.
Quando un ricercatore ha scoperto una soluzione alternativa per l’ulteriore richiesta di PIN / impronta digitale, il nostro team di ingegneri ha risolto il problema che consentiva la soluzione alternativa e l’aggiornamento è ora disponibile. Ora, quando la funzione impronta digitale / PIN è abilitata, gli utenti devono fornire la propria impronta digitale o il codice PIN per visualizzare il codice monouso.
Per procedere al download della versione aggiornata per Android, vi basterà cliccare sul nostro appbox: