Google podría haber solucionado la falla de robo de código 2FA en la aplicación Authenticator hace años


usando-google-authenticator-heres-why-you-5e25985efab00f00018c96d1-1-ene-20-2020-16-51-58-poster.jpg

El mes pasado, una empresa de ciberseguridad descubrió el primer malware para Android que venía con la capacidad de robar los códigos 2FA (autenticación de dos factores) generados por la aplicación Google Authenticator.

El malware, descubierto por investigadores de ThreatFabric, se llamaba Cerberus, y su función de robo de código OTP 2FA aún estaba en desarrollo, pero aún no se había detectado en un ataque del mundo real.

Según los investigadores, el malware era un híbrido entre un troyano bancario y un troyano de acceso remoto (RAT). Una vez que un usuario de Android se infecta, el pirata informático utiliza las funciones de troyano bancario del malware para robar credenciales para aplicaciones de banca móvil.

Si una cuenta estaba protegida por 2FA, y concretamente por la aplicación Google Authenticator, el malware se diseñó para permitir que la pandilla Cerberus se conecte al dispositivo de un usuario manualmente, a través de sus funciones RAT. Los hackers luego abrirían la aplicación Autenticador, generarían códigos de acceso únicos, tomarían una captura de pantalla de los códigos y luego accederían a la cuenta del usuario.

El descubrimiento de ThreatFabric Fue significativo. Cerberus no solo fue el primer malware de Android que robaba códigos 2FA por única vez, sino que también lo hacía usando una técnica simple: capturar la interfaz de la aplicación Authenticator.

Sin protecciones FLAG_SECURE

En una investigación publicada esta semana, investigadores de Nightwatch Cybersecurity profundizaron en la causa raíz que permitió este ataque, a saber, que la aplicación Authenticator permitió que su contenido fuera capturado en primer lugar.

El sistema operativo Android permite que las aplicaciones protejan a sus usuarios al impedir que otras aplicaciones capturen su contenido. Esto se hace agregando una opción "FLAG_SECURE" dentro de la configuración de la aplicación.

Google no agregó esta bandera a la aplicación de Authenticator, a pesar de que la aplicación manejaba contenido bastante sensible.

Los investigadores de Nightwatch dijeron que Google podría haber solucionado este problema tan pronto como octubre de 2014, cuando se le llamó la atención por primera vez sobre esta configuración errónea. por alguien en GitHub.

Además, los investigadores de Nightwatch volvieron a plantear este mismo punto en 2017, cuando informaron el mismo problema al equipo de seguridad de Google.

Además, también encontraron que Aplicación Authenticator de Microsoft para Android también presentó (y aún presenta) la misma configuración incorrecta que permite capturar su pantalla.

"La marca evita que otras aplicaciones tomen capturas de pantalla o graben la pantalla" Lukas Stefanko, uno de los principales analistas de malware móvil de ESET, dijo hoy a ZDNet cuando le pedimos que revisara el informe.

A la luz del informe ThreatFabric, muchos usuarios, investigadores de seguridad y el propio Adrian Kingsley-Hughes de ZDNet, han argumentado que puede ser el momento de pasar de Authenticator a otras aplicaciones generadoras de código OTP 2FA, o incluso a métodos de autenticación 2FA más seguros como llaves de hardware.





Enlace a la noticia original