Badacze bezpieczeństwa z holenderskiej firmy ThreatFabric zajmującej się bezpieczeństwem urządzeń mobilnych stwierdzili w raporcie z zeszłego miesiąca, że najnowsza wersja trojana bankowego dla Androida Cerberus jest zdolna do kradzież jednorazowych haseł (OTP) wygenerowane przez Google Authenticator i inne podobne aplikacje. Ludzie w Cyberbezpieczeństwo Nightwatch odkryli teraz kolejną lukę w zabezpieczeniach, która może zostać wykorzystana przez złośliwe aplikacje do kradzieży jednorazowych haseł z Google Authenticator.
Raport opublikowany przez Nightwatch Cybersecurity ujawnia, że nieuczciwe aplikacje na urządzeniach z Androidem mogą być w stanie ukraść wszystkie wygenerowane kody OTP z Aplikacja Google Authenticator, ponieważ umożliwia przechwytywanie zrzutów ekranu z jednorazowymi hasłami. Zauważa, że kilka nieuczciwych aplikacji wykorzystuje dostępność Androida do pobierania zrzutów ekranu z uruchomionych aplikacji. Można temu zapobiec, używając „FLAG_SECURE”, ale Google Authenticator niestety nie używa ustawienia FLAG_SECURE.
Verizon oferuje Pixel 4a za jedyne 10 USD miesięcznie na nowych liniach Unlimited
Aplikacje na Androida i niektóre usługi platformy mogą przechwytywać ekrany z innych uruchomionych aplikacji za pomocą interfejsu API MediaProjection. Z flagą FLAG_SECURE zawartość okna aplikacji jest traktowana jako bezpieczna, dzięki czemu nie pojawia się na zrzutach ekranu.
Chociaż raport o błędzie szczegółowo opisujący lukę został przesłany do Google, nie został on jeszcze naprawiony. Błąd nadal występuje w najnowszej wersji aplikacji Authenticator.