Google | Android | Malware

Ani dvoufaktorové ověření není neprůstřelné. Malware dokáže krást hesla z autentifikátoru

Foto: Google
Ani dvoufaktorové ověření není neprůstřelné. Malware dokáže krást hesla z autentifikátoru | Foto: Google

Mnoho z nás používá aplikaci Google Autentifikátor ke generování hesel, se kterými se přihlašuje do různých online služeb. Je to nástroj pro dvoufaktorové ověřování, tudíž díky němu máme pocit bezpečí. Ale ani on není stoprocentní, jak ukázala analýza dánské bezpečnostní firmy ThreatFabric. Bankovní malware pro Android podle ní dokáže hesla z autentifikátoru krást. 

Firma to popsala ve velké zprávě nazvané „2020 - Rok RAT“. Tato zkratka označuje tzv. Remote Access Trojan, tedy skupinu trojských koňů pro vzdálený přístup. Ty se dokážou zabydlet ve našem počítači a útočníkovi ho umožní ovládat na dálku. Jsou nebezpečný, lidé kvůli nim mohou přijít o prakticky celý obsah svého počítače/mobilu včetně přihlašovacích údajů. 

Bezpečnostní odborníci v analýze tvrdí, že pokud je RAT použit společně s bankovním malwarem určeném pro Android Cerberus, dokáže potenciálně krást právě hesla generovaná pomocí Google Autentifikátoru. „Když aplikace (Google Autentifikátor) běží, trojan zvládne získat přístup k obrazovce zařízení a odeslat ji C2 serveru,“ popisují. 

Přitom Google Autentifikátor byl dlouho považován za relativně bezpečnou formu, jak provádět přihlašování. Hesla totiž generuje lokálně na smartphonu, nemusí putovat přes nezabezpečenou mobilní síť jako u klasického ověřování přes SMS. Téměř bez problémů autentifikátor fungoval od roku 2010. 

Cerberus začínal jako ne příliš vyvinutý malware, který ovšem za poslední měsíce získal mnoho nepříjemných schopností, včetně té ovládat zařízení na dálku. Jeho autoři jsou na to tak pyšní, že novou verzi dokonce inzerovali na Twitteru.

Nicméně podle bezpečnostní firmy tento model malwaru ještě není aktivní na internetu, útočníci jej teprve testují. Hesla z autentifikátoru tedy zatím nekrade, jde spíše o to, že to zvládne, až bude vypuštěn do světa. Což se může stát velmi brzy. ThreatFabric předpokládá, že Cerberus bude tuto funkci využívat především k přístupu do bankovních účtů a kradení peněz. 

Pokud se varování naplní a malware skutečně začne hesla z autentifikátoru krást, bude jeden z prvních, který to dokáže. Historicky se prolomit dvoufaktorové ověřování podařilo zatím jen úzké skupině škodlivých kódu, a to za specifických podmínek.

Diskuze (18) Další článek: Slibný svět: Superzemě K2-18b by mohla být obyvatelnou planetou

Témata článku: Google, Internet, Android, Twitter, Bezpečnost, Mobilní aplikace, Hacking, Malware, Heslo, SMS, Cerberus, Bezpečnostní firma, Ověření, Ověřování, Rat


Určitě si přečtěte

Proč byste měli rozmazávat SPZ aut na fotkách, které vystavujete na web

Proč byste měli rozmazávat SPZ aut na fotkách, které vystavujete na web

** Na fotkách aut nahraných na web je dobré rozmazat SPZ ** Značku dokáže z obrázku přečíst Google i Facebook ** SPZ může naplnit podstatu osobního údaje

Karel Kilián | 67

Nový Edge je opravdu Chrome! Prohnali jsme prohlížeče benchmarky i vlastním unikátním testem

Nový Edge je opravdu Chrome! Prohnali jsme prohlížeče benchmarky i vlastním unikátním testem

** Nový Edge je postavený na Chromiu ** Prohnali jsme ho benchmarky a srovnali s ostatními ** Potvrdily nám, že je prakticky stejný jako Chrome a Opera

Jakub Čížek | 66

Biblická potopa Česka: Jak bychom dopadli, kdyby nás zatopil oceán

Biblická potopa Česka: Jak bychom dopadli, kdyby nás zatopil oceán

** Představte si biblickou potopu ** Nejprve zaniknou Děčín a Břeclav, pak i Brno a Praha ** Hlavním městem se stane Jihlava a zbytky Čechů přežijí na Kvildě

Jakub Čížek | 94

Vyzkoušeli jsme TP-Link Deco P9: zajistí doma Wi-Fi díky drátům ve zdi

Vyzkoušeli jsme TP-Link Deco P9: zajistí doma Wi-Fi díky drátům ve zdi

** Nová generace Mesh Wi-Fi s propojením přes elektrické rozvody ** Lepší parametry a nižší cena než u předchůdce ** Aplikace zatím podporuje jen základní nastavení bez rozšířených funkcí

Tomáš Holčík | 25



Aktuální číslo časopisu Computer

Velký test autokamer

Test ATX skříní

Jak surfovat pohodlně

Sportovní aplikace

Jak funguje procesor