С 2014 года баг позволяет похищать 2ФА коды из приложения Google Authenticator

Рекомендуем почитать:

Xakep #250. Погружение в AD

• Содержание выпуска
• Подписка на «Хакер»

В прошлом месяце ИБ-специалисты обнаружили новую модификацию Android малвари Cerberus (гибрид банкера и RAT), которая научилась похищать коды двухфакторной аутентификации, сгенерированные приложением Google Authenticator, и таким образом обходить защиту.

«Злоупотребления привилегиями Accessibility, троян может похищать коды 2ФА из приложения Google Authenticator. Когда запущено приложение [Authenticator], троян способен извлечь содержимое интерфейса и отправить его на свой управляющий сервер», — пишут эксперты, рассказывая, что малварь, по сути, делает простой снимок экрана и таким образом ворует 2ФА коды.

Теперь эксперты компании Nightwatch Cybersecurity более детально изучили основную проблему Google Authenticator, которая делает подобные атаки возможными, а именно тот факт, что приложение Authenticator в принципе позволяет делать скриншоты своего содержимого.

Дело в том, что Android позволяет приложениям защищать своих пользователей, не давая другим приложениям делать скриншоты. Это достигается путем использования опции «FLAG_SECURE», однако в Google Authenticator этого по какой-то причине сделано не было. Исследователи Nightwatch отмечают, что разработчики Google могли бы решить проблему еще в октябре 2014 года, когда кто-то впервые обратил внимание на эту ошибку в конфигурации и сообщил об этом на GitHub.

Кроме того, ранее исследователи обнаружили, что приложение Microsoft Authenticator для Android тоже имеет такую же неправильную конфигурацию, позволяет другим приложениям делать скриншоты экрана с одноразовыми кодами.

Из-за столь странного поведения Google Authenticator многие специалисты рекомендуют переходить на другие приложения, генерирующие одноразовые 2ФА коды, или на более безопасные методы двухфакторной аутентификации, например, использовать аппаратные ключи.

Источник