زعم باحثو الأمن في شركة ThreatFabric الهولندية الأمنية في تقرير الشهر الماضي أن أحدث إصدار من نظام Android Banking trojan Cerberus قادر على سرقة رموز المرور لمرة واحدة (OTP) تم إنشاؤها بواسطة Google Authenticator وتطبيقات أخرى مماثلة. الناس في الأمن السيبراني Nightwatch كشفت الآن عن ثغرة أمنية أخرى يمكن أن تستخدمها التطبيقات الضارة لسرقة رموز المرور لمرة واحدة من Google Authenticator.
يكشف التقرير الذي نشرته Nightwatch Cybersecurity أن التطبيقات المارقة على أجهزة Android قد تكون قادرة على سرقة جميع رموز OTP التي تم إنشاؤها من تطبيق Google Authenticator، لأنه يسمح بالتقاط لقطات شاشة لرموز المرور لمرة واحدة. يشير إلى أن العديد من التطبيقات المارقة تستخدم إمكانية الوصول إلى Android لسحب لقطات الشاشة من التطبيقات قيد التشغيل. يمكن منع ذلك باستخدام "FLAG_SECURE" ، ولكن Google Authenticator للأسف لا يستخدم الإعداد FLAG_SECURE.
تقدم Verizon Pixel 4a مقابل 10 دولارات شهريًا فقط على خطوط جديدة غير محدودة
يمكن لتطبيقات Android وبعض خدمات النظام الأساسي التقاط شاشات من تطبيقات أخرى قيد التشغيل بمساعدة MediaProject API. باستخدام علامة FLAG_SECURE ، يتم التعامل مع محتوى نافذة التطبيق على أنه آمن ، مما يمنعه من الظهور في لقطات الشاشة.
بينما تم إرسال تقرير خطأ يوضح تفاصيل الثغرة الأمنية إلى Google ، إلا أنه لم يتم إصلاحه بعد. لا يزال الخطأ موجودًا في أحدث إصدار من تطبيق Authenticator.