Исследователи безопасности из голландской компании по обеспечению безопасности мобильных устройств ThreatFabric в прошлом месяце заявили, что последняя версия банковского трояна для Android Cerberus способна кража одноразовых паролей (OTP) генерируется Google Authenticator и другими подобными приложениями. Ребята из Кибербезопасность Nightwatch обнаружили еще одну уязвимость, которую вредоносные приложения могут использовать для кражи одноразовых паролей из Google Authenticator.
Отчет, опубликованный Nightwatch Cybersecurity, показывает, что мошеннические приложения на устройствах Android могут украсть все сгенерированные коды OTP из Приложение Google Authenticator, так как позволяет делать скриншоты одноразовых паролей. Он отмечает, что несколько мошеннических приложений используют специальные возможности Android для получения снимков экрана из запущенных приложений. Этого можно было избежать, используя "FLAG_SECURE", но Google Authenticator, к сожалению, не использует параметр FLAG_SECURE.
Verizon предлагает Pixel 4a всего за 10 долларов в месяц на новых безлимитных линиях
Приложения Android и определенные сервисы платформы могут захватывать экраны из других запущенных приложений с помощью MediaProjection API. С флагом FLAG_SECURE содержимое окна приложения считается безопасным, предотвращая его отображение на снимках экрана.
Хотя отчет об ошибке с подробным описанием уязвимости был отправлен в Google, он еще не исправлен. Ошибка все еще присутствует в последней версии приложения Authenticator.