【IT】グーグルの認証アプリ「Authenticator」、ワンタイムパスワードが盗まれるおそれ
■ このスレッドは過去ログ倉庫に格納されています
サイバーセキュリティ企業のThreatFabricは2月、「Google Authenticator」アプリで生成された2要素認証(2FA)コードを盗み出す機能を備える「Android」マルウェアを初めて発見した。
このマルウェアは以前に発見されていた「Cerberus」の亜種。これまで2FAのワンタイムパスワード(OTP)を窃取する機能は備えていなかった。
Cerberusはバンキング型トロイの木馬とリモートアクセス型トロイの木馬(RAT)のハイブリッドだ。Androidデバイスが感染すると、ハッカーはマルウェアのバンキング型トロイの木馬機能を利用して、モバイルバンキングアプリの認証情報を盗み出す。
Cerberusは、アカウントが2FA(つまりGoogle Authenticatorアプリ)で保護されている場合に、攻撃者がRAT機能を通じてユーザーのデバイスに手動で接続できるよう設計されている。ハッカーはその後、Authenticatorアプリを開いてOTPを生成し、コードのスクリーンショットを取得して、ユーザーのアカウントにアクセスする。
Nightwatch Cybersecurityの研究チームが、この攻撃を可能にしていた根本原因を詳しく調査したところ、そもそもAuthenticatorアプリがコンテンツのスクリーンショットを取得できるようになっていた。
Androidは、他のアプリにコンテンツのスクリーンショットを取得されないようにすることで、アプリがユーザーを保護できるようにしている。こうした保護は、アプリの設定内に「FLAG_SECURE」オプションを追加することで実現される。
Authenticatorアプリは非常に機密性の高いコンテンツを扱っているにもかかわらず、Googleは同アプリにこのフラグを追加していなかった。
Nightwatchによると、この問題は2014年10月にGitHub上で初めて指摘されていた。
同社は2018年9月、Android版「Microsoft Authenticator」にも同様の不具合があることを指摘している。
https://japan.cnet.com/article/35150489/ 外部の人間をauthentificateするアプリか
ご丁寧なこった むしろ自分の盗みたいわ
機種変で移行できなくて困っとる >>3
あれね
いったん2段階認証解除してから
機種変してもう一回2段階認証しなおす
それがめんどくさくて2段階認証は
SMSにしてるわ kerberos?
まじかよマイクロソフト最低だな >>6
SMSも色々とあぶない
NISTやらが注意してる これだから泥はダメだ
やっぱ信用できるのは林檎だけ 使ってるんだけど、遠隔でアプリでスクショ取れるとかふざけんな iPhoneのiCloud Keychainで十分だわ Google Authenticatorなんかで認証できるモバイルバンキング、少なくとも日本には無いような。 >>14
iCloud Keychainが自動生成するパスワードすら弾くクソサイトが多過ぎる、日本は
海外発のサイトは大体大丈夫なのに >>16
iCloud Keychainの利用ぐらい想定しろって話だよ 2段階認証でガンガン使ってるんだけど・・・
リモートでスクショ取れちゃうとかガバガバすぎない?(´・ω・`) >>7
chromeアプリが消えるのでちょっと困る
冗長はしておきたいので 2/2
【金融機関】6割が要員不足で十分なサイバー攻撃対策取れず
https:
//egg.5ch.net/test/read.cgi/bizplus/1580582410/
2/6
【社会】ネットバンキング被害4倍に 「ワンタイムパス」破る
https://egg.5ch.net/test/read.cgi/bizplus/1580958545/
3/11
【IT】米グーグルはテレワークでVPNを使わない、なぜなら「あれ」が危険だから
https://egg.5ch.net/test/read.cgi/bizplus/1583911941/ ■ このスレッドは過去ログ倉庫に格納されています
