I ricercatori di sicurezza della società olandese di sicurezza mobile ThreatFabric avevano affermato in un rapporto il mese scorso che l'ultima versione del trojan bancario Android Cerberus è in grado di rubare passcode monouso (OTP) generato da Google Authenticator e altre app simili. La gente di Cybersecurity notturna hanno ora scoperto un'altra vulnerabilità che potrebbe essere utilizzata da app dannose per rubare passcode monouso da Google Authenticator.
Il rapporto pubblicato da Nightwatch Cybersecurity rivela che le app canaglia su dispositivi Android potrebbero essere in grado di rubare tutti i codici OTP generati dal App Google Authenticator, in quanto consente di catturare screenshot di passcode monouso. Rileva che diverse app canaglia utilizzano l'accessibilità di Android per estrarre schermate dalle app in esecuzione. Ciò potrebbe essere evitato utilizzando "FLAG_SECURE", ma purtroppo Google Authenticator non utilizza l'impostazione FLAG_SECURE.
Verizon offre Pixel 4a per soli $ 10 / mese sulle nuove linee Unlimited
Le app Android e alcuni servizi della piattaforma possono acquisire schermate da altre app in esecuzione con l'aiuto dell'API MediaProjection. Con il flag FLAG_SECURE, il contenuto di una finestra dell'app viene considerato sicuro, impedendone la visualizzazione negli screenshot.
Sebbene sia stata inviata a Google una segnalazione di bug che dettaglia la vulnerabilità, non è stata ancora risolta. Il bug è ancora presente nell'ultima versione dell'app Authenticator.