Een fout in de iOS-app liet gevoelige TOTP-gegevens in platte tekst achter op het toestel.
Proton heeft een lek opgelost in de iOS-versie van zijn nieuwe Authenticator-app. De fout zorgde ervoor dat gevoelige TOTP-codes (Time-based One-Time Password) voor 2FA werden weggeschreven in logbestanden in platte tekst. De fout is inmiddels hersteld in versie 1.1.1 van de app.
Gevoelige informatie in logbestanden
Een Reddit-gebruiker merkte de bug op toen 2FA-accounts uit de app verdwenen na het bewerken van een label. Bij het bekijken van de gegenereerde logbestanden ontdekte hij dat de geheime authenticatiecodes, zoals bijvoorbeeld die van gevoelige diensten zoals Bitwarden, zichtbaar waren in het logbestand op het toestel.
Het probleem werd veroorzaakt door een functie in de iOS-code die de TOTP-gegevens aan een variabele toevoegde. Die variabele werd daarna automatisch in lokale logs weggeschreven als platte tekst.
Ondertussen opgelost
Proton benadrukt aan BleepingComputer dat de logs nooit naar hun servers worden verzonden en dat alle synchronisatie van codes end-to-end versleuteld is. Toch vormt het logbestand een risico als gebruikers het onbedoeld delen tijdens een bugrapport of ondersteuningstraject.
Het lek niet vanop afstand misbruikt kon worden. Toch konden kwaadwillenden die fysieke toegang tot het toestel hadden vrij gemakkelijk de geheime codes lezen. Proton heeft de logging aangepast om dit gedrag te vermijden.
lees ook