Изследователите на сигурността в холандската фирма за мобилна сигурност ThreatFabric заявиха в доклад миналия месец, че последната версия на троянския троянски кон Android Cerberus е способна кражба на еднократни пароли (OTP) генерирани от Google Authenticator и други подобни приложения. Хората в Киберсигурност на Nightwatch вече са разкрили друга уязвимост, която може да се използва от злонамерени приложения за кражба на еднократни пароли от Google Authenticator.
Докладът, публикуван от Nightwatch Cybersecurity, разкрива, че измамните приложения на устройства с Android може да са в състояние да откраднат всички генерирани OTP кодове от Приложение Google Удостоверител, тъй като позволява да се заснемат екранни снимки на еднократни пароли. Той отбелязва, че няколко измамни приложения използват достъпността на Android, за да изтеглят екранни снимки от работещи приложения. Това може да бъде предотвратено чрез използване на „FLAG_SECURE“, но Google Authenticator за съжаление не използва настройката FLAG_SECURE.
Verizon предлага Pixel 4a само за $ 10 / месец на нови неограничени линии
Приложенията за Android и някои услуги на платформата могат да улавят екрани от други работещи приложения с помощта на API на MediaProjection. С флага FLAG_SECURE съдържанието на прозорец на приложението се третира като защитено, предотвратявайки появата му на екранни снимки.
Докато доклад за грешка, описващ подробно уязвимостта, е изпратен на Google, той все още не е коригиран. Грешката все още присъства в най-новата версия на приложението Authenticator.