Google a Microsoft Authenticator stále umožňujú snímku obrazovky mobilu. Cerberus malvér túto vlastnosť už zneužíva

Authenticator

Zdroj: ZDNet

Ak používate dvojfaktorovú autentifikáciu (2FA), tak pre generovanie kódov na mobile sa používajú rôzne aplikácie. Ak si zapnete pre svoj účet 2FA, tak dostanete na výber rôzne možnosti ako bude kód generovaný. Kód môžete dostať cez SMS, cez telefonický hovor hlasom, emailom, pomocou softvérového tokenu alebo hardvérového tokenu. Podporované spôsoby pre rôzne služby nájdete na stránke twofactorauth.org.

Softvérový token je vlastne aplikácia na mobile, ktorá generuje a zobrazuje kódy. Svoje vlastné mobilné aplikácie majú aj firmy Google a Microsoft, ale nie sú veľmi bezpečné. Nedávno sa objavil prvý mobilný Android malvér, ktorý dokázal zneužiť slabiny 2FA softvérových tokenov, ktoré umožňujú vytvoriť snímku obrazovky.

Nový mobilný Android malvér sa volá Cerberus a po infikovaní mobilu sa dokážu útočníci manuálne pripojiť na diaľku na zariadenie. Následne spustia softvérový token a vygenerujú niekoľko kódov naraz. Posledný krok je vytvorenie snímky obrazovky s kódmi a odoslanie útočníkom. Len poznamenám, že kódy sa dajú generovať staticky za sebou (výhodné pre útočníkov, nie sú viazané časom), alebo sú automaticky generované každých 30 sekúnd (nevýhodné pre útočníkov, majú menej ako 30 sekúnd na zneužitie).

Výskumníci z Nightwatch Cybersecurity zistili, že jednoducho ukradnúť kódy je možné vďaka tomu, že aplikácie umožňujú urobiť snímku obrazovky. Programátori vedia zabrániť niečomu takému použitím nastavenia „FLAG_SECURE“ v aplikácii. Google ani Microsoft Authenticator nemajú niečo také nastavené. Google bol na to upozornený ešte v roku 2014. Microsoft sa v roku 2018 vyjadril, že to nebude riešiť ako chybu. Obidve sú notoricky známe aj tým, že nemajú funkciu zálohy alebo exportu tokenov.

Authenticator No screenshot

Obrázok č.1: Chyba zobrazovaná pri pokuse o snímku obrazovky v aplikácií s nastavením „FLAG_SECURE“
Zdroj: incident.sk

Máte teda na výber iné aplikácie? Áno. Ja osobne vám odporúčam dve. Prvá sa volá Authy. Na prihlásenie potrebujete mobilné číslo, ktoré slúži na overenie pri inštalácii na nové zariadenie. Aplikácia podporuje zálohu vytvorených tokenov. Migrácia na nový mobilný telefón je tak rýchla a jednoduchá. Authy je výborná pre kohokoľvek.

Druhá aplikácia sa volá Aegis Authenticator a je open source. Nevyžaduje od vás pri nastavení mobilné číslo (niekomu môže vadiť). Nemá síce jednoduchý a automatický backup ako Authy, ale umožňuje export tokenov. Aegis Authenticator odporúčam tým, ktorí majú radi kontrolu nad nastaveniami, nechcú backup do cloudu a vadí im použitie mobilného čísla.

Aegis Authenticator

Obrázok č.2: Aegis Authenticator s používateľským nastavením „FLAG_SECURE“
Zdroj: incident.sk

Obidve aplikácie dokážu zablokovať urobenie snímky obrazovky, ale Aegis Authenticator má toto nastavenie viditeľné aj vo svojich nastaveniach. To môže byť zneužité, lebo ak už sú útočníci manuálne na vašom zariadení, tak im to stačí vypnúť a urobiť snímku obrazovky. Authy sa javí z tohto pohľadu ako default bezpečnejšia aplikácia. Samozrejme ak už sú útočníci na vašom mobile a manuálne na diaľku spúšťajú aplikácie, tak máte oveľa väčší problém ako tento.

Na záver vám odporúčame na vašich najdôležitejších účtoch nastavenie 2FA.

Obrázok: incident.sk

Facebook
Twitter
LinkedIn
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ