Sicherheitsforscher des niederländischen Unternehmens für mobile Sicherheit ThreatFabric hatten in einem Bericht im vergangenen Monat behauptet, dass die neueste Version des Android-Banking-Trojaners Cerberus dazu in der Lage ist Diebstahl von Einmalpasscodes (OTP) generiert vom Google Authenticator und anderen ähnlichen Apps. Die Leute bei Nachtwache Cybersicherheit haben jetzt eine weitere Sicherheitslücke entdeckt, die von böswilligen Apps verwendet werden könnte, um einmalige Passwörter von Google Authenticator zu stehlen.
Der von Nightwatch Cybersecurity veröffentlichte Bericht zeigt, dass unerwünschte Apps auf Android-Geräten möglicherweise alle generierten OTP-Codes aus dem Internet stehlen können Google Authenticator App, da Screenshots von einmaligen Passcodes erfasst werden können. Es wird darauf hingewiesen, dass mehrere betrügerische Apps die Android-Barrierefreiheit nutzen, um Screenshots von laufenden Apps abzurufen. Dies könnte durch die Verwendung von "FLAG_SECURE" verhindert werden, aber der Google Authenticator verwendet die Einstellung FLAG_SECURE leider nicht.
Verizon bietet das Pixel 4a für nur 10 US-Dollar pro Monat auf neuen Unlimited-Linien an
Android-Apps und bestimmte Plattformdienste können mithilfe der MediaProjection-API Bildschirme von anderen laufenden Apps erfassen. Mit dem FLAG_SECURE-Flag wird der Inhalt eines App-Fensters als sicher behandelt, sodass er nicht in Screenshots angezeigt wird.
Ein Fehlerbericht über die Sicherheitsanfälligkeit wurde zwar an Google gesendet, aber noch nicht behoben. Der Fehler ist in der neuesten Version der Authenticator-App weiterhin vorhanden.