Cercetătorii de securitate ai companiei olandeze de securitate mobilă ThreatFabric susținuseră într-un raport luna trecută că cea mai recentă versiune a troianului bancar Android Cerberus este capabilă să furarea codurilor de trecere unice (OTP) generat de Google Authenticator și alte aplicații similare. Oamenii de la Nightwatch Cybersecurity au descoperit acum o altă vulnerabilitate care ar putea fi utilizată de aplicațiile rău intenționate pentru a fura coduri de acces unice de la Google Authenticator.
Raportul publicat de Nightwatch Cybersecurity dezvăluie că aplicațiile necinstite de pe dispozitivele Android ar putea să fure toate codurile OTP generate de pe Aplicația Google Authenticator, deoarece permite capturarea capturilor de ecran cu coduri de acces unice. Se observă că mai multe aplicații necinstite folosesc accesibilitatea Android pentru a extrage capturi de ecran din aplicațiile care rulează. Acest lucru ar putea fi prevenit folosind „FLAG_SECURE”, dar din păcate Google Authenticator nu folosește setarea FLAG_SECURE.
Verizon oferă Pixel 4a la doar 10 USD / lună pe noile linii nelimitate
Aplicațiile Android și anumite servicii de platformă pot captura ecrane din alte aplicații care rulează cu ajutorul API-ului MediaProjection. Cu semnalizatorul FLAG_SECURE, conținutul unei ferestre de aplicație este tratat ca sigur, împiedicându-l să apară în capturi de ecran.
Deși un raport de erori care detaliază vulnerabilitatea a fost trimis la Google, acesta nu a fost încă remediat. Eroarea este încă prezentă în cea mai recentă versiune a aplicației Authenticator.