Peneliti keamanan di perusahaan keamanan seluler Belanda ThreatFabric telah mengklaim dalam sebuah laporan bulan lalu bahwa versi terbaru dari trojan perbankan Android Cerberus mampu mencuri kode akses satu kali (OTP) dibuat oleh Google Authenticator dan aplikasi serupa lainnya. Orang-orang di Keamanan Siber Nightwatch kini telah menemukan kerentanan lain yang dapat digunakan oleh aplikasi berbahaya untuk mencuri kode sandi sekali pakai dari Google Authenticator.
Laporan yang diterbitkan oleh Nightwatch Cybersecurity mengungkapkan bahwa aplikasi jahat di perangkat Android mungkin dapat mencuri semua kode OTP yang dihasilkan dari Aplikasi Google Authenticator, karena ini memungkinkan tangkapan layar dari kode akses satu kali untuk diambil. Ini mencatat bahwa beberapa aplikasi jahat menggunakan aksesibilitas Android untuk menarik tangkapan layar dari aplikasi yang sedang berjalan. Ini dapat dicegah dengan menggunakan "FLAG_SECURE", tapi sayangnya Google Authenticator tidak menggunakan setelan FLAG_SECURE.
Verizon menawarkan Pixel 4a hanya dengan $ 10 / bln pada jalur Unlimited baru
Aplikasi Android dan layanan platform tertentu dapat menangkap layar dari aplikasi lain yang sedang berjalan dengan bantuan MediaProjection API. Dengan bendera FLAG_SECURE, konten jendela aplikasi diperlakukan sebagai aman, mencegahnya muncul di tangkapan layar.
Meskipun laporan bug yang merinci kerentanan telah dikirimkan ke Google, hal itu belum diperbaiki. Bug masih ada di versi terbaru aplikasi Authenticator.