Bezpečnostní vědci z nizozemské mobilní bezpečnostní firmy ThreatFabric ve zprávě z minulého měsíce tvrdili, že nejnovější verze bankovního trojského koně Android Cerberus je schopná krádež jednorázových přístupových kódů (OTP) generované aplikací Google Authenticator a dalšími podobnými aplikacemi. Lidi na Kybernetická bezpečnost Nightwatch nyní odhalili další chybu zabezpečení, kterou by škodlivé aplikace mohly použít ke krádeži jednorázových přístupových kódů z aplikace Google Authenticator.
Zpráva zveřejněná společností Nightwatch Cybersecurity odhaluje, že nepoctivé aplikace na zařízeních Android mohou být schopny ukrást všechny generované kódy OTP z Aplikace Google Authenticatorumožňuje snímat snímky jednorázových přístupových kódů. Poznamenává, že několik nepoctivých aplikací využívá přístupnost systému Android k získávání snímků obrazovky ze spuštěných aplikací. Tomu lze zabránit pomocí „FLAG_SECURE“, ale Google Authenticator bohužel nepoužívá nastavení FLAG_SECURE.
Verizon nabízí Pixel 4a za pouhých 10 $ / měsíc na nových linkách Unlimited
Aplikace pro Android a určité služby platformy mohou pomocí rozhraní MediaProjection API zachytit obrazovky z jiných spuštěných aplikací. S příznakem FLAG_SECURE je obsah okna aplikace považován za zabezpečený, což mu brání v zobrazování na obrazovkách.
I když byla společnosti Google předložena zpráva o chybě, která podrobně popisuje tuto chybu zabezpečení, dosud nebyla opravena. Chyba je stále přítomna v nejnovější verzi aplikace Authenticator.