Nieuws
image

Androidmalware steelt 2FA-codes uit sms-notificaties

maandag 17 juni 2019, 14:13 door Redactie, 7 reacties

Onderzoekers hebben in de Google Play Store malware ontdekt die tweefactorauthenticatiecodes weet te stelen door toegang tot notificaties te vragen. Daarmee omzeilt de malware een maatregel die Google eerder dit jaar doorvoerde. Sinds maart beperkt Android namelijk het gebruik van sms-permissies.

Hierdoor kunnen apps die inloggegevens proberen te stelen deze permissies niet gebruiken om toegang tot tweefactorauthenticatie (2FA)-codes te krijgen die via sms zijn ontvangen. De nu ontdekte malware blijkt echter in staat om zonder sms-permissies toch 2FA-codes uit sms-berichten te stelen. De gebruikte techniek werkt ook tegen 2FA-codes die via e-mail worden verkregen.

De malware vraagt namelijk toegang tot notificaties van andere apps en heeft ook de mogelijkheid om de notificaties te sluiten of op knoppen te klikken indien die aanwezig zijn. De notificatie van een sms-bericht kan bijvoorbeeld de opgevraagde 2FA-code bevatten. Door het uitlezen van de notificatie kan de malware zo de code stelen, waarmee de aanvaller toegang tot een account kan krijgen. Daarnaast kan de malware de notificatie meteen sluiten, zodat het slachtoffer niets door heeft.

De malware zat verborgen in drie malafide apps in de Google Play Store, die afkomstig leken van een Turkse cryptobeurs. Twee van de apps waren bij elkaar zo'n honderd keer gedownload voordat ze door Google werden verwijderd. De derde app werd vorige week door antivirusbedrijf ESET bij Google gerapporteerd.

Androidgebruikers krijgen het advies om alleen apps voor cryptobeurzen en financiën te vertrouwen die direct van de officiële website worden gelinkt. Tevens moeten mensen alleen apps die ze vertrouwen gebruiken en deze alleen notificatietoegang geven als er een legitieme reden is. Verder wordt aangeraden om 2FA-codes via een generator te genereren in plaats van sms of e-mail te gebruiken.

Image

Reacties (7)
17-06-2019, 14:27 door Bitje-scheef
Oei...
17-06-2019, 14:31 door Anoniem
Verder wordt aangeraden om 2FA-codes via een generator te genereren in plaats van sms of e-mail te gebruiken.
Ah, een "pseudo-random generator". Jat daar de sleutel van en je kan zoveel 2FA-codes genereren als je zelf wil. En die sleutel moet dus ergens bij de generator bekend zijn en is dus wellicht uit de "app" te vissen.
17-06-2019, 14:55 door [Account Verwijderd] - Bijgewerkt: 17-06-2019, 14:57
Door Anoniem:Ah, een "pseudo-random generator". Jat daar de sleutel van en je kan zoveel 2FA-codes genereren als je zelf wil. En die sleutel moet dus ergens bij de generator bekend zijn en is dus wellicht uit de "app" te vissen.

Dat lijkt mij ook inderdaad. Enige beschermingslaag is dat je malware dan meer toegang moet hebben dan alleen SMS of notificaties uitlezen (meer iets van root toegang). Dat lijkt mij een kwestie van tijd gezien de beroerde update status van Android toestellen.

Zal ik nog eens roepen dat security keys dit probleem niet hebben doordat de sleutels in een chip opgeslagen worden (niet de kopieren zijn) en een hardware matige bevestiging nodig heeft voor ze worden vrijgegeven? Zo iets kan ook voor Android (en vermoed ik dat de security key implementatie hier ook gebruik van maakt): https://android-developers.googleblog.com/2018/10/android-protected-confirmation.html
17-06-2019, 15:16 door Anoniem
Daarom gebruik ik alleen 2FA via een aparte ('domme') GSM. Heb je dit soort ellende nooit!

En dat illustreert meteen het probleem van Apps + Verificatie op één device. Of dat nu banking via een app is of DiGiD toegang: alles op één apparaat betekent dat het 'kraken ervan potentieel gevaar oplevert omdat daarmee toegang tot het gehele gebeuren verkregen zou kunnen worden. iets dat bij SMS check via een aparte GSM niet mogelijk is.

Tenzij de hacker in staat is het gekoppelde telefoonnummer te wijzigen of zich een SIM kaartje daarvan laat toesturen...
17-06-2019, 15:48 door Anoniem
Door Anoniem:
Verder wordt aangeraden om 2FA-codes via een generator te genereren in plaats van sms of e-mail te gebruiken.
Ah, een "pseudo-random generator". Jat daar de sleutel van en je kan zoveel 2FA-codes genereren als je zelf wil. En die sleutel moet dus ergens bij de generator bekend zijn en is dus wellicht uit de "app" te vissen.
Maar vanwege de scheiding van app data in Android is daar root voor nodig. En als je eenmaal root hebt kun je nog wel meer doen op die telefoon.
17-06-2019, 16:31 door spatieman
dat krijg je als je alles gratis aanbied om geld te genereren via adds, niet dat apple heilig , want ook daar wordt meuk ontdekt die niet deugd.
18-06-2019, 18:30 door [Account Verwijderd]
Door Anoniem:
Verder wordt aangeraden om 2FA-codes via een generator te genereren in plaats van sms of e-mail te gebruiken.
Ah, een "pseudo-random generator". Jat daar de sleutel van en je kan zoveel 2FA-codes genereren als je zelf wil. En die sleutel moet dus ergens bij de generator bekend zijn en is dus wellicht uit de "app" te vissen.

Dat gaat hopelijk wel enigszins meevallen:
https://en.m.wikipedia.org/wiki/Random_seed
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure