Istraživači sigurnosti u nizozemskoj tvrtki za mobilnu sigurnost ThreatFabric tvrdili su prošlog mjeseca u izvješću da je najnovija verzija Android bankarskog trojanca Cerberus sposobna krađa jednokratnih zaporki (OTP) generirani od strane Google Authenticator i drugih sličnih aplikacija. Ljudi na Cybersecurity Nightwatch su sada otkrili još jednu ranjivost koju bi zlonamjerne aplikacije mogle koristiti za krađu jednokratnih zaporki s Google Authenticatora.
Izvještaj koji je objavio Nightwatch Cybersecurity otkriva da bi nevaljale aplikacije na Android uređajima mogle ukrasti sve generirane OTP kodove iz Aplikacija Google autentifikator, jer omogućuje snimanje snimaka zaslona jednokratnih lozinki. Napominje da se nekoliko nevaljalih aplikacija koristi Androidovom dostupnošću za povlačenje snimaka zaslona iz pokrenutih aplikacija. To bi se moglo spriječiti upotrebom "FLAG_SECURE", ali Google Authenticator nažalost ne koristi postavku FLAG_SECURE.
Verizon nudi Pixel 4a za samo 10 USD mjesečno na novim Neograničenim linijama
Android aplikacije i određene usluge platforme mogu hvatati zaslone iz drugih pokrenutih aplikacija uz pomoć MediaProjection API-ja. Oznakom FLAG_SECURE sadržaj prozora aplikacije tretira se kao siguran, sprječavajući njegovo pojavljivanje na snimkama zaslona.
Iako je Googleu dostavljeno izvješće o programskoj pogrešci s pojedinostima o ranjivosti, ono još nije ispravljeno. Bug je i dalje prisutan u najnovijoj verziji aplikacije Authenticator.