5 augustus 2025 09:31

Bug in Proton Authenticator legde 2FA-secrets bloot in logbestanden

Een bug in de iOS-versie van Proton Authenticator zorgde ervoor dat 2FA-secrets per abuis in logbestanden terechtkwamen. Proton meldt dat de bug is opgelost in versie 1.1.1, die inmiddels in de App Store beschikbaar is.

De iOS-versie van Proton Authenticator genereerde logbestanden waarin de 2FA-secrets stonden die nodig zijn om TOTP-codes te genereren. Een gebruiker ontdekte dit vlak voordat hij een bugrapport wilde indienen bij Proton.

In een inmiddels verwijderde Reddit-thread beschrijft de gebruiker hoe hij, voorafgaand aan het versturen van het bugrapport, de logs van de app opende en ontdekte dat Proton zijn 2FA-secrets in platte tekst had opgeslagen. “Het blijkt dat het logboek volledige 2FA-secrets in plaintext bevat. Ja, inclusief die voor mijn Bitwarden-account”, schrijft hij.

‘Plaintext’ betekent dat iedereen met toegang tot het logbestand de 2FA-secrets kon lezen en misbruiken, zonder dat deze eerst moesten worden ontcijferd. Iedereen met toegang tot dat logbestand kon dus in principe toegang krijgen tot de TOTP-codes. Daarvoor moest diegene echter wel fysieke toegang hebben tot de iPhone, of het logbestand moest gedeeld zijn met bijvoorbeeld de Proton-klantenservice of via een forum.

Proton Authenticator privacy — De nadruk bij Authenticator ligt duidelijk op privacy en beveiliging – © Proton

Misbruik op afstand niet mogelijk

Proton erkent de ernst van de bug, maar benadrukt dat deze niet op afstand kon worden misbruikt. Logbestanden worden alleen lokaal opgeslagen en worden bovendien niet gesynchroniseerd met de Proton-servers. Dat betekent dat iemand fysieke toegang tot het toestel nodig had om de logs te kunnen inzien. Proton voegt daaraan toe: “Iemand die toegang heeft tot je apparaat om deze logbestanden te verkrijgen, zou ook nog steeds de geheimen kunnen achterhalen.”

Authenticator biedt namelijk de mogelijkheid om 2FA-geheimen te exporteren, zodat gebruikers kunnen overstappen naar een andere 2FA-app. Daarmee voldoet de app aan Europese privacyregels, die eisen stellen aan gegevensportabiliteit. Tegelijkertijd betekent het dat iemand met fysieke toegang in principe altijd de 2FA-codes kan bemachtigen.

Zodra een kwaadwillende toegang heeft tot je iPhone, is er “niets dat Proton (of een andere 2FA-app) kan doen om dat te voorkomen”, aldus de ontwikkelaar. Gebruikers wordt dan ook aangeraden hun toestel goed te beveiligen tegen dit soort situaties.

Update voor Proton Authenticator

Proton heeft de Authenticator-app voor iOS inmiddels bijgewerkt. Vanaf versie 1.1.1 worden 2FA-secrets niet langer opgeslagen in logbestanden. Deze update is sinds maandag beschikbaar in de App Store voor iPhones en iPads.

Uitgelicht artikel

Malware aangetroffen in software populaire muizenfabrikant

Schrijf je in op onze nieuwsbrief en ontvang elke werkdag het beste uit de techwereld in je mailbox.

2fa Beveiliging proton

Jeffrey van de Velde

Als gepassioneerd technologiejournalist duikt Jeffrey dagelijks met een kritische blik in het laatste nieuws over smartphones, telecommunicatie, hardware en elektrische fietsen. Hoe sneller de evoluties in de techwereld gaan, hoe beter, vindt hij.