Pesquisadores de segurança da empresa holandesa de segurança móvel ThreatFabric afirmaram em um relatório no mês passado que a versão mais recente do trojan bancário Android Cerberus é capaz de roubar senhas únicas (OTP) gerado pelo Google Authenticator e outros aplicativos semelhantes. O pessoal da Nightwatch Cybersecurity agora descobriram outra vulnerabilidade que pode ser usada por aplicativos maliciosos para roubar senhas únicas do Google Authenticator.
O relatório publicado pela Nightwatch Cybersecurity revela que aplicativos nocivos em dispositivos Android podem ser capazes de roubar todos os códigos OTP gerados a partir do Aplicativo Google Authenticator, pois permite que capturas de tela de senhas únicas sejam capturadas. Ele observa que vários aplicativos desonestos usam a acessibilidade do Android para obter capturas de tela de aplicativos em execução. Isso poderia ser evitado usando "FLAG_SECURE", mas o Google Authenticator infelizmente não usa a configuração FLAG_SECURE.
A Verizon está oferecendo o Pixel 4a por apenas US $ 10 / mês nas novas linhas Unlimited
Aplicativos Android e certos serviços de plataforma podem capturar telas de outros aplicativos em execução com a ajuda da API MediaProjection. Com a sinalização FLAG_SECURE, o conteúdo de uma janela do aplicativo é tratado como seguro, evitando que apareça em capturas de tela.
Embora um relatório de bug detalhando a vulnerabilidade tenha sido enviado ao Google, ele ainda não foi corrigido. O bug ainda está presente na versão mais recente do aplicativo Authenticator.