- Joined
- Jun 1, 2014
- Messages
- 284
- Reaction score
- 263
- Points
- 63
Google hasn’t fixed a dangerous vulnerability in Google Authenticator for years
ThreatFabric specialists last month discovered the first-ever malware to steal two-factor authentication codes generated by Google Authenticator. Researchers called the malware Cerberus, and its function of stealing codes is still under development and has not yet been used in real attacks.
Cerberus is a hybrid of banking Trojan and Remote Access Trojan (RAT) for Android devices. After infecting the device using the banking Trojan functions, malware steals banking data. In the event that the victim's account is protected by the two-factor authentication mechanism of the Google Authenticator application, Cerberus acts as a RAT and provides its operators with remote access to the device. Attackers open Google Authenticator, generate a one-time code, take a screenshot of it, and then gain access to the victim’s account.
Cerberus is not only the first-ever malware with the functions of stealing one-time two-factor authentication codes. The Trojan uses a very simple technique for this - it creates a screenshot of the Google Authenticator interface.
Researchers at Nightwatch Cybersecurity Decided to study what exactly in Google Authenticator makes possible the functions of Cerberus, in particular the screenshot function. Android OS allows applications to protect their users from the ability of other applications to take screenshots of their content - for this, the FLAG_SECURE option must be added to the application settings. As it turned out, Google did not add this flag to Google Authenticator.
According to researchers at Nightwatch Cybersecurity, Google could fix this problem back in 2014, after one of the GitHub users wrote about it, but did not. The problem remained uncorrected in 2017, when Nightwatch Cybersecurity experts informed the company about it, and remains one to this day.
Source
ThreatFabric specialists last month discovered the first-ever malware to steal two-factor authentication codes generated by Google Authenticator. Researchers called the malware Cerberus, and its function of stealing codes is still under development and has not yet been used in real attacks.
Cerberus is a hybrid of banking Trojan and Remote Access Trojan (RAT) for Android devices. After infecting the device using the banking Trojan functions, malware steals banking data. In the event that the victim's account is protected by the two-factor authentication mechanism of the Google Authenticator application, Cerberus acts as a RAT and provides its operators with remote access to the device. Attackers open Google Authenticator, generate a one-time code, take a screenshot of it, and then gain access to the victim’s account.
Cerberus is not only the first-ever malware with the functions of stealing one-time two-factor authentication codes. The Trojan uses a very simple technique for this - it creates a screenshot of the Google Authenticator interface.
Researchers at Nightwatch Cybersecurity Decided to study what exactly in Google Authenticator makes possible the functions of Cerberus, in particular the screenshot function. Android OS allows applications to protect their users from the ability of other applications to take screenshots of their content - for this, the FLAG_SECURE option must be added to the application settings. As it turned out, Google did not add this flag to Google Authenticator.
According to researchers at Nightwatch Cybersecurity, Google could fix this problem back in 2014, after one of the GitHub users wrote about it, but did not. The problem remained uncorrected in 2017, when Nightwatch Cybersecurity experts informed the company about it, and remains one to this day.
Source
Original message
Google годами не исправляет опасную уязвимость в Google Authenticator
В прошлом месяце специалисты компании ThreatFabric обнаружили первое в истории вредоносное ПО для похищения кодов двухфакторной аутентификации, генерируемых Google Authenticator. Исследователи назвали вредонос Cerberus, и его функция похищения кодов все еще находится в стадии разработки и пока не использовалась в реальных атаках.
Cerberus представляет собой гибрид банковского трояна и трояна для удаленного доступа (RAT) для Android-устройств. После заражения устройства с помощью функций банковского трояна вредонос похищает банковские данные. В случае, если учетная запись жертвы защищена с помощью механизма двухфакторной аутентификации приложения Google Authenticator, Cerberus выполняет роль RAT и предоставляет своим операторам удаленный доступ к устройству. Злоумышленники открывают Google Authenticator, генерируют одноразовый код, делают его скриншот, а затем получают доступ к учетной записи жертвы.
Cerberus – не только первое в истории вредоносное ПО с функциями похищения одноразовых кодов двухфакторной аутентификации. Троян использует для этого очень простую технику – создает скриншот интерфейса Google Authenticator.
Исследователи из Nightwatch Cybersecurity решили изучить , что именно в Google Authenticator делает возможным функции Cerberus, в частности функцию скриншотов. ОС Android позволяет приложениям защищать своих пользователей от возможности других приложений делать скриншоты их контента – для этого в настройки приложения должна быть добавлена опция FLAG_SECURE. Как оказалось, Google не добавила этот флаг в Google Authenticator.
По словам исследователей Nightwatch Cybersecurity, Google могла исправить эту проблему еще в 2014 году, после того как о ней написал один из пользователей GitHub, но не сделала этого. Проблема осталась неисправленной и в 2017 году, когда специалисты Nightwatch Cybersecurity сообщили о ней компании, и остается таковой по сей день.
Источник
В прошлом месяце специалисты компании ThreatFabric обнаружили первое в истории вредоносное ПО для похищения кодов двухфакторной аутентификации, генерируемых Google Authenticator. Исследователи назвали вредонос Cerberus, и его функция похищения кодов все еще находится в стадии разработки и пока не использовалась в реальных атаках.
Cerberus представляет собой гибрид банковского трояна и трояна для удаленного доступа (RAT) для Android-устройств. После заражения устройства с помощью функций банковского трояна вредонос похищает банковские данные. В случае, если учетная запись жертвы защищена с помощью механизма двухфакторной аутентификации приложения Google Authenticator, Cerberus выполняет роль RAT и предоставляет своим операторам удаленный доступ к устройству. Злоумышленники открывают Google Authenticator, генерируют одноразовый код, делают его скриншот, а затем получают доступ к учетной записи жертвы.
Cerberus – не только первое в истории вредоносное ПО с функциями похищения одноразовых кодов двухфакторной аутентификации. Троян использует для этого очень простую технику – создает скриншот интерфейса Google Authenticator.
Исследователи из Nightwatch Cybersecurity решили изучить , что именно в Google Authenticator делает возможным функции Cerberus, в частности функцию скриншотов. ОС Android позволяет приложениям защищать своих пользователей от возможности других приложений делать скриншоты их контента – для этого в настройки приложения должна быть добавлена опция FLAG_SECURE. Как оказалось, Google не добавила этот флаг в Google Authenticator.
По словам исследователей Nightwatch Cybersecurity, Google могла исправить эту проблему еще в 2014 году, после того как о ней написал один из пользователей GitHub, но не сделала этого. Проблема осталась неисправленной и в 2017 году, когда специалисты Nightwatch Cybersecurity сообщили о ней компании, и остается таковой по сей день.
Источник