Οι ερευνητές ασφαλείας στην ολλανδική εταιρεία ασφάλειας κινητών τηλεφώνων ThreatFabric είχαν ισχυριστεί σε μια έκθεση τον περασμένο μήνα ότι η τελευταία έκδοση του trojan Cerberus Android banking είναι ικανή να κλοπή εφάπαξ κωδικών πρόσβασης (OTP) δημιουργήθηκε από τον Επαληθευτή Google και άλλες παρόμοιες εφαρμογές. Οι λαοί στο Nightwatch Cybersecurity έχουν πλέον αποκαλύψει μια άλλη ευπάθεια που θα μπορούσε να χρησιμοποιηθεί από κακόβουλες εφαρμογές για την κλοπή εφάπαξ κωδικών πρόσβασης από τον Επαληθευτή Google.
Η έκθεση που δημοσιεύθηκε από το Nightwatch Cybersecurity αποκαλύπτει ότι οι απατεώνες εφαρμογές σε συσκευές Android ενδέχεται να μπορούν να κλέψουν όλους τους παραγόμενους κωδικούς OTP από το Εφαρμογή Google Authenticator, καθώς επιτρέπει τη λήψη στιγμιότυπων οθόνης εφάπαξ κωδικών πρόσβασης. Σημειώνει ότι πολλές απάτες εφαρμογές χρησιμοποιούν την προσβασιμότητα Android για να τραβήξουν στιγμιότυπα οθόνης από την εκτέλεση εφαρμογών. Αυτό θα μπορούσε να αποφευχθεί χρησιμοποιώντας το "FLAG_SECURE", αλλά ο Επαληθευτής Google δυστυχώς δεν χρησιμοποιεί τη ρύθμιση FLAG_SECURE.
Η Verizon προσφέρει το Pixel 4a με μόλις $ 10 / μήνα σε νέες Απεριόριστες γραμμές
Οι εφαρμογές Android και ορισμένες υπηρεσίες πλατφόρμας μπορούν να συλλάβουν οθόνες από άλλες εφαρμογές που εκτελούνται με τη βοήθεια του MediaProjection API. Με τη σημαία FLAG_SECURE, το περιεχόμενο ενός παραθύρου εφαρμογής αντιμετωπίζεται ως ασφαλές, αποτρέποντάς το να εμφανίζεται σε στιγμιότυπα οθόνης.
Παρόλο που μια αναφορά σφαλμάτων που περιγράφει λεπτομερώς την ευπάθεια έχει υποβληθεί στην Google, δεν έχει διορθωθεί ακόμα. Το σφάλμα εξακολουθεί να υπάρχει στην τελευταία έκδοση της εφαρμογής Authenticator.