CASINOJOY - Ставка На Успех! Проверь Свою Удачу!


Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - С 2014 года баг позволяет похищать 2ФА коды из приложения Google Authenticator
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

С 2014 года баг позволяет похищать 2ФА коды из приложения Google Authenticator

14.03.2020

В прошлом месяце ИБ-специалисты обнаружили новую модификацию Android малвари Cerberus (гибрид банкера и RAT), которая научилась похищать коды двухфакторной аутентификации, сгенерированные приложением Google Authenticator, и таким образом обходить защиту.

«Злоупотребления привилегиями Accessibility, троян может похищать коды 2ФА из приложения Google Authenticator. Когда запущено приложение [Authenticator], троян способен извлечь содержимое интерфейса и отправить его на свой управляющий сервер», — пишут эксперты, рассказывая, что малварь, по сути, делает простой снимок экрана и таким образом ворует 2ФА коды.

Теперь эксперты компании Nightwatch Cybersecurity более детально изучили основную проблему Google Authenticator, которая делает подобные атаки возможными, а именно тот факт, что приложение Authenticator в принципе позволяет делать скриншоты своего содержимого.

Дело в том, что Android позволяет приложениям защищать своих пользователей, не давая другим приложениям делать скриншоты. Это достигается путем использования опции «FLAG_SECURE», однако в Google Authenticator этого по какой-то причине сделано не было. Исследователи Nightwatch отмечают, что разработчики Google могли бы решить проблему еще в октябре 2014 года, когда кто-то впервые обратил внимание на эту ошибку в конфигурации и сообщил об этом на GitHub.

Кроме того, ранее исследователи обнаружили, что приложение Microsoft Authenticator для Android тоже имеет такую же неправильную конфигурацию, позволяет другим приложениям делать скриншоты экрана с одноразовыми  кодами.

Из-за столь странного поведения Google Authenticator многие специалисты рекомендуют переходить на другие приложения, генерирующие одноразовые 2ФА коды, или на более безопасные методы двухфакторной аутентификации, например, использовать аппаратные ключи.

При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Уязвимости
Опубликовал: shellmann
Просмотров: 1258
Проголосовало через SMS: 0
Ключевые слова: google authenticator, bug, баг, уязвимость, (найти похожие документы)
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • Баг в Safari приводит к утечке данных
  • В Darknet закрывается кардерский маркетплейс UniCC
  • Хакеры взломали украинские правительственные сайты
  • Уязвимость на diia.gov.ua
  • Опубликован бесплатный дешифратор для вымогателя BlackByte
  • Zerodium покупает уязвимости в ExpressVPN, NordVPN и Surfshark
  • За взломом сайтов REvil стояли правоохранительные органы
  • Уязвимость ProxyToken позволяет воровать почту через Microsoft Ex...
  • T-Mobile взломали через уязвимый роутер
  • Ботнет Phorpiex прекратил работу, его исходный код выставлен на п...

    Все новости... Все статьи... Прислать новость RSS
  • Взлом и безопасность / Новичкам » Услуги взлома социальных сетей от [email protected]
  • Взлом и безопасность / Программы » Купить QR код/сертификат о вакцинации против COVID-19
  • Разное / Болталка » Re: Форум жив?
  • Разное / Болталка » Форум жив?
  • Разное / Болталка » С Новым 2022 Годом!
  • Взлом и безопасность / Программы » Re: Hasp ключ для ABC-4
  • Портал / Отзывы и предложения » Предлагаем партнерство вашему форуму.
  • Разное / Предложения работы » взлом почты
  • Разное / Предложения работы » Re: Нужен Взлом сайта на DLE
  • Разное / Предложения работы » Сервис Postman - 500 руб за получение писем и 10€ за пересыл...

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 1996-2020. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    contador de visitas счетчик посещений

    #{title}

    #{text}

    x

    #{title}

    #{text}