サインアップするユーザーの数が増え続けるオンライン サービスに伴い、パスワード マネージャーのニーズが本質的に高まっています。ユーザーは、2 要素認証を使用してオンライン ID を保護できるアプリにさらに惹かれています。しかし、Android 用 LastPass Authenticator は 完全に安全ではないと言ったら、あなたはどう反応するでしょうか?
はい、正しく読んでいます。 Android 上の LastPass Authenticator アプリは、LastPass やその他のサポートされているアプリにログインするために使用さ れますが、セキュリティの抜け穴があり、アプリに保存されている 2FA コードのセキュリティを強化するために使用した PIN または指紋認証を誰でもバイパスできます 。
この脆弱性は、Hacker Noon のプログラマーである Dylan によって 発見され ました。同氏は、パスワード マネージャーの Android アプリは主力アプリと同様の保護標準を使用しておらず、 Android 上の個々のアクティビティを通じて 2FA コードにアクセスできるままになっている と示唆しました。これは直接アクセスすることも、悪意のあるコード挿入を介してアクセスすることもでき、6 月からアプリ内に存在しています。
2FA コードにアクセスするには、デバイスをルート化する必要さえなく、Oreo 以前のデバイスの Activity Launcher や Android Oreo の QuickShortcutMaker などのアプリを使用して同じコードにアクセスできます。これらのアプリのいずれかをインストールすると、
「com.lastpass.authenticator.activities.SettingsActivity」アクティビティにアクセスし
、戻るボタンを押すと、すべての 2FA コードが「安全でない」状態で横たわるメイン アクティビティが表示されます。 iOS 上の LastPass Authenticator アプリは完全に安全であり、そのようなセキュリティの抜け穴の影響を受けません。
LastPass の公式声明
同社はサポート Twitter アカウントを通じて公式声明を発表し、Android 上の LastPass 認証アプリのセキュリティ上の懸念を認識して いると述べています。同様に「徹底的な評価」が行われており、強力なパスワードを使用するユーザーは何も恐れることはありません。
私たちは、Authenticator アプリに関して提起された懸念を認識しており、徹底的に評価しています。
強力なパスワードを使用し続けるユーザーは、現時点では何もする必要はありません。— LastPass サポート (@LastPassHelp) 2017 年 12 月 27 日
したがって、これは単に、LastPass ユーザーの皆さんにとって、当面は Android アプリの使用を中止するか、弱いパスワードを強力なパスワードに置き換えたほうが良いということを意味します。この単純だが憂慮すべき脆弱性についてどう思いますか?以下のコメント欄でご意見をお聞かせください。
![2021 年に Raspberry Pi Web サーバーをセットアップする方法 [ガイド]](https://i0.wp.com/pcmanabu.com/wp-content/uploads/2019/10/web-server-02-309x198.png?w=1200&resize=1200,0&ssl=1)
