image

Google Authenticator laat screenshots van OTP-codes maken

woensdag 4 maart 2020, 15:31 door Redactie, 12 reacties

De Google Authenticator-app die voor tweefactorauthenticatie (2FA) wordt gebruikt staat het toe dat er screenshots van OTP-codes worden gemaakt. Het probleem is al sinds 2014 bekend en het is onwaarschijnlijk dat Google met een oplossing zal komen.

De Authenticator-app is namelijk al sinds 27 september 2017 niet meer bijgewerkt. Onlangs werd bekend dat de Cerberus-malware voor Android in staat is om OTP-codes van Google Authenticator te stelen. Een probleem dat in 2017 al door securitybedrijf Nightwatch Cybersecurity aan Google was gerapporteerd. Het bedrijf waarschuwde dat als het toestel van de gebruiker met een kwaadaardige app besmet raakt, die app gegenereerde OTP-codes kan vastleggen. Daarmee wordt de tweefactorauthenticatie gebroken, aldus Nightwatch Cybersecurity.

Dergelijke activiteiten van kwaadaardige apps zijn via een bepaalde optie te voorkomen, maar daar maakt Google Authenticator geen gebruik van. Op 10 mei 2017 rapporteerde Nightwatch Cybersecurity het probleem bij Google. Een oplossing werd echter nooit doorgevoerd. Nu onlangs bekend werd dat de Cerberus-malware van deze omissie gebruikmaakt besloot het securitybedrijf de details van de bugmelding te openbaren.

"Het is prima om de ontwikkeling van software te staken. Het is oké om te bepalen dat je beperkte middelen ergens anders beter zijn te gebruiken. Het is niet oké om een open beveiligingsstandaard te promoten, mensen te overtuigen om je propriëtaire app te gebruiken en die dan te verlaten", zegt Terence Eden, hoofd open technologie van NHSX, een speciale techafdeling van de Britse gezondheidszorg NHS.

Reacties (12)
04-03-2020, 16:15 door Robby Swartenbroekx
Even getest, ook andere MFA apps laten toe er screenshots van te maken, Microsoft Authenticator, LastPass Authenticator, Authy. Niet dat ik het goedkeur, integendeel.
04-03-2020, 16:25 door Anoniem
Ok dus deze apps zijn ook niet secuur dan
leuk
04-03-2020, 16:36 door Erik van Straten - Bijgewerkt: 04-03-2020, 16:38
Door LordPan: Even getest, ook andere MFA apps laten toe er screenshots van te maken, Microsoft Authenticator, LastPass Authenticator, Authy. Niet dat ik het goedkeur, integendeel.
Ik weet het niet precies hoe het zit, maar ik kan me voorstellen dat andere apps standaard minder mogen dan de gebruiker van een Android smartphone (d.w.z. geen "screenshot" mogen maken, terwijl de gebruiker dat wel mag). Aan de andere kant, als een app root privileges heeft weten te verkrijgen, kan deze mogelijk zelfs de shared secrets van servers in de Authenticor app bemachtigen (en heeft dan jouw smartphone niet meer nodig).

Overigens gebruikt malware (zonder root-privileges) naar verluidt vaak "permissies voor toegankelijkheid" (accessibility permissions) om toegang te krijgen tot webbrowsers, waaronder de in te vullen velden (dus ook 2FA codes). Meer info:
https://www.threatfabric.com/blogs/2020_year_of_the_rat.html
https://www.threatfabric.com/blogs/cerberus-a-new-banking-trojan-from-the-underworld.html
Bron: https://www.zdnet.com/article/android-malware-can-steal-google-authenticator-2fa-codes/

De kunst is natuurlijk het voorkomen dat er malware op je smartphone komt.
04-03-2020, 18:56 door Anoniem
OTP is gewoon een standaard, je zit dus niet aan de app van een advertentieboer vast en kan gewoon een andere gebruiken. Dit soort berichten zijn een prima aanleiding om dat te doen.
04-03-2020, 20:41 door Anoniem
Ja..Google...
Ik durf hun apps al niet meer buiten de sandbox te draaien, laat staan dat ik ze een vorm van authenticatie toevertrouw. Behalve dan die paar nepaccounts die ik bij ze heb (handig voor yt playlist, ed). Ingelogd over TOR uiteraard.
05-03-2020, 00:24 door Anoniem
Daarom zijn die codes ook maar 30s geldig...
05-03-2020, 08:22 door Anoniem
Je kan altijd de MFA app laten uitrollen via een MDM in het werkprofiel van de telefoon. Daar kan je ook prima voorkomen om screenshots te maken.
05-03-2020, 09:31 door Anoniem
Je hebt iets nodig wat je hebt (de OTP-code) en iets wat je weet (je wachtwoord).

Dus zolang je je wachtwoord niet op dezelfde telefoon invoert ben je volkomen veilig, bij een correcte 2 factor implementatie.
05-03-2020, 10:21 door Jalaba
Probeer eens Aegis (ook via F-droid). Werk top, open source, screenshots maken lukt niet en de app is lekker simpel.
05-03-2020, 13:14 door Erik van Straten
Door Anoniem: Daarom zijn die codes ook maar 30s geldig...
En omdat ook cybercriminelen dat weten, logt hun malware binnen 30 seconden in op jouw account...
05-03-2020, 14:05 door Anoniem
FreeOTP+ staat helaas het maken van screenshots toe. Eens kijken of een export naar AEgis mogelijk is.
07-03-2020, 12:04 door Anoniem
Draai authenticator binnen knox. Probleem opgelost.
Of niet?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.