Google годами не исправляет опасную уязвимость в Google Authenticator

DronVR

Приватный уровень доступа
Регистрация
1 Июнь 2014
Сообщения
276
Репутация
247
Баллы
43
Google годами не исправляет опасную уязвимость в Google Authenticator



В прошлом месяце специалисты компании ThreatFabric обнаружили первое в истории вредоносное ПО для похищения кодов двухфакторной аутентификации, генерируемых Google Authenticator. Исследователи назвали вредонос Cerberus, и его функция похищения кодов все еще находится в стадии разработки и пока не использовалась в реальных атаках.

Cerberus представляет собой гибрид банковского трояна и трояна для удаленного доступа (RAT) для Android-устройств. После заражения устройства с помощью функций банковского трояна вредонос похищает банковские данные. В случае, если учетная запись жертвы защищена с помощью механизма двухфакторной аутентификации приложения Google Authenticator, Cerberus выполняет роль RAT и предоставляет своим операторам удаленный доступ к устройству. Злоумышленники открывают Google Authenticator, генерируют одноразовый код, делают его скриншот, а затем получают доступ к учетной записи жертвы.

Cerberus – не только первое в истории вредоносное ПО с функциями похищения одноразовых кодов двухфакторной аутентификации. Троян использует для этого очень простую технику – создает скриншот интерфейса Google Authenticator.

Исследователи из Nightwatch Cybersecurity решили изучить , что именно в Google Authenticator делает возможным функции Cerberus, в частности функцию скриншотов. ОС Android позволяет приложениям защищать своих пользователей от возможности других приложений делать скриншоты их контента – для этого в настройки приложения должна быть добавлена опция FLAG_SECURE. Как оказалось, Google не добавила этот флаг в Google Authenticator.

По словам исследователей Nightwatch Cybersecurity, Google могла исправить эту проблему еще в 2014 году, после того как о ней написал один из пользователей GitHub, но не сделала этого. Проблема осталась неисправленной и в 2017 году, когда специалисты Nightwatch Cybersecurity сообщили о ней компании, и остается таковой по сей день.

Источник
 
Thread starter Похожие темы Forum Replies Date
НСК-СБ Китайское шпионское ПО загружено из Google Play Store более 150 млн раз Информационная безопасность. 1
НСК-СБ Шпионское ПО на протяжении четырех лет скрывалось в Google Play Store Информационная безопасность. 3
root 5 поисковиков, которые лучше, чем Google Информационная безопасность. 1
root Google, как искать правильно ? Информационная безопасность. 0
НСК-СБ По следам Google Docs: как избежать утечки корпоративных документов Информационная безопасность. 1
НСК-СБ В первый день "эпохи GDPR" против Facebook, Google, Instagram и WhatsApp подали крупные иски Разное. Другие интересные темы. 0
Демитрий Блокировку Telegram в Google Play можно будет легко обойти Информационная безопасность. 0
Детективное агентство Тула Мосгорсуд оштрафовал Google за чтение личной почты Информационная безопасность. 10
Матушкин Андрей Николаевич Патрушев раскритиковал чиновников за использование Google и Интересные статьи и заметки. 9
Матушкин Андрей Николаевич 9 правил поиска информации в GOOGLE, о которых не знают 96% Интересные статьи и заметки. 19
Матушкин Андрей Николаевич Tотальный контроль. Правда о Google. Видеоканалы членов Ассоциации и другие интересные видеоматериалы. 15
Юридическая Компания Лидер Евросоюз требует от Google изменить способ сбора личной инфо Другие интересные темы. 4
Детективное агентство ИКС-Инфо. GOOGLE УЛИЧИЛИ В ШПИОНАЖЕ ЗА БРИТАНЦАМИ Интересные статьи и заметки. 5
НСК-СБ Google обнаружила 20 тысяч вредоносных web-сайтов Информационная безопасность. 7
Гудимов Анатолий Геннадиевич Основатель Google "Facebook и Apple - душители свободы". Интересные статьи и заметки. 5
Гудимов Анатолий Геннадиевич Google заподозрена в шпионской деятельности. Интересные статьи и заметки. 16
Детективное агентство ИКС-Инфо. Google вводит новую политику конфиденциальности Использование высоких технологий разведкой и контрразведкой. 12
Игорь Коракс Google X: тайна секретной лаборатории Google раскрыта Осторожно! Высокие технологии. 9
НСК-СБ Что требуют спецслужбы от Google? Интересные статьи и заметки. Interested articles and notes. 11
Игорь Коракс Новый сервис Google позволит находить информацию о человеке. Осторожно! Высокие технологии. 3
Детективное агентство Симферополь Google запустил новую соцсеть Осторожно! Высокие технологии. 2
ИнфоПоиск Глава Google выступил против тайны личной жизни Осторожно! Высокие технологии. 1
ИнфоПоиск Китайское правительство не взламывало Google Хакеры. 1
ИнфоПоиск Власти Китая продлевают лицензию Google Осторожно! Высокие технологии. 1
Похожие темы