Raksts

Google Authenticator ekrānuzņēmuma kļūda varētu būt potenciālais drošības risks

Nīderlandes mobilo drošības firmas ThreatFabric drošības pētnieki pagājušā mēneša ziņojumā apgalvoja, ka jaunākā Android banku Trojas zirga Cerberus versija zagt vienreizējus piekļuves kodus (OTP) ģenerēja Google autentifikators un citas līdzīgas lietotnes. Cilvēki plkst Nightwatch kiberdrošība tagad ir atklājuši vēl vienu ievainojamību, kuru ļaunprātīgas lietotnes varētu izmantot, lai nozagtu vienreizējus piekļuves kodus no Google Authenticator.

Nightwatch Cybersecurity publicētais ziņojums atklāj, ka negodīgas lietotnes Android ierīcēs, iespējams, varēs nozagt visus ģenerētos OTP kodus no Google autentifikatora lietotne, jo tas ļauj uzņemt vienreizēju piekļuves kodu ekrānuzņēmumus. Tajā atzīmēts, ka vairākas negodīgas lietotnes izmanto Android pieejamību, lai izvilktu ekrānuzņēmumus no darbojošām lietotnēm. To varētu novērst, izmantojot “FLAG_SECURE”, taču Google autentifikators diemžēl neizmanto iestatījumu FLAG_SECURE.

Verizon piedāvā Pixel 4a tikai par 10 USD mēnesī jaunās Neierobežotās līnijās

Android lietotnes un noteikti platformas pakalpojumi ar MediaProjection API palīdzību var uzņemt citu darbināmu lietotņu ekrānus. Izmantojot karodziņu FLAG_SECURE, lietotnes loga saturs tiek uzskatīts par drošu, novēršot tā parādīšanos ekrānuzņēmumos.

Kaut arī Google ir iesniegts kļūdas ziņojums, kurā sīki aprakstīta ievainojamība, tas vēl nav novērsts. Kļūda joprojām ir pieejama lietotnes Authenticator jaunākajā versijā.

instagram story viewer