A ThreatFabric holland mobilbiztonsági cég biztonsági kutatói a múlt hónapban készített jelentésben azt állították, hogy az Android banki trójai Cerberus legújabb verziója képes egyszeri kódok (OTP) ellopása amelyet a Google Authenticator és más hasonló alkalmazások hoztak létre. Az emberek itt: Nightwatch kiberbiztonság most egy újabb biztonsági rést tártak fel, amelyet a rosszindulatú alkalmazások felhasználhatnak egyszeri kódok ellopására a Google Authenticator-tól.
A Nightwatch Cybersecurity által közzétett jelentésből kiderül, hogy az Android-eszközökön lévő szélhámos alkalmazások képesek ellopni az összes generált OTP-kódot a Google Authenticator alkalmazás, mivel lehetővé teszi az egyszeri kódok képernyőképeinek rögzítését. Megállapítja, hogy számos szélhámos alkalmazás az Android akadálymentességét használja, hogy képernyőképeket jelenítsen meg a futó alkalmazásokból. Ezt meg lehet akadályozni a "FLAG_SECURE" használatával, de a Google Hitelesítő sajnos nem használja a FLAG_SECURE beállítást.
A Verizon a Pixel 4a készüléket mindössze 10 USD / hó áron kínálja az új Unlimited vonalakon
Az Android-alkalmazások és bizonyos platformszolgáltatások a MediaProjection API segítségével más futó alkalmazások képernyőit képesek rögzíteni. A FLAG_SECURE zászlóval az alkalmazásablak tartalma biztonságosnak tekinthető, megakadályozva, hogy megjelenjen a képernyőképeken.
Bár a sérülékenységet részletesen bemutató hibajelentést elküldtük a Google-nak, még nem javítottuk ki. A hiba továbbra is jelen van az Authenticator alkalmazás legújabb verziójában.