Artículo

El error de captura de pantalla de Google Authenticator podría ser un riesgo potencial para la seguridad

protection click fraud

Los investigadores de seguridad de la firma holandesa de seguridad móvil ThreatFabric habían afirmado en un informe el mes pasado que la última versión del troyano bancario Android Cerberus es capaz de robar contraseñas de un solo uso (OTP) generado por Google Authenticator y otras aplicaciones similares. La gente de Ciberseguridad de Nightwatch ahora han descubierto otra vulnerabilidad que podrían utilizar aplicaciones maliciosas para robar códigos de acceso únicos de Google Authenticator.

El informe publicado por Nightwatch Cybersecurity revela que las aplicaciones fraudulentas en dispositivos Android podrían robar todos los códigos OTP generados del Aplicación Google Authenticator, ya que permite capturar capturas de pantalla de códigos de acceso de un solo uso. Señala que varias aplicaciones fraudulentas utilizan la accesibilidad de Android para extraer capturas de pantalla de aplicaciones en ejecución. Esto podría evitarse usando "FLAG_SECURE", pero el Autenticador de Google lamentablemente no usa la configuración FLAG_SECURE.

Verizon ofrece Pixel 4a por solo $ 10 / mes en nuevas líneas ilimitadas

Las aplicaciones de Android y ciertos servicios de plataforma pueden capturar pantallas de otras aplicaciones en ejecución con la ayuda de la API de MediaProjection. Con la bandera FLAG_SECURE, el contenido de la ventana de una aplicación se trata como seguro, evitando que aparezca en capturas de pantalla.

Si bien se envió a Google un informe de error que detalla la vulnerabilidad, aún no se ha solucionado. El error todavía está presente en la última versión de la aplicación Authenticator.

instagram story viewer