Os códigos do Google Authenticator 2FA estão em risco com este malware do Android

Os códigos do Google Authenticator 2FA estão em risco com este malware do Android

Nem todos os sistemas de autenticação de dois fatores, também conhecidos como 2FA, são criados iguais e alguns, como o SMS, são considerados inseguros, mas ainda melhores do que nenhum 2FA. Em vez da biometria onipresente, o método 2FA mais fácil recomendado é o uso de um aplicativo 2FA, do qual o Google Authenticator é talvez o mais popular. Mas e se o próprio aplicativo 2FA for considerado inseguro? Essa é a situação bastante preocupante em que os usuários podem se encontrar, graças a um malware novo, mas felizmente ainda não lançado.

Os aplicativos 2FA, como o Google Authenticator, Authy e LastPass, apenas para citar alguns, funcionam como gerenciadores de senhas, exceto que eles s√≥ geram senhas de uso √ļnico (OTPs) quando voc√™ abre o aplicativo. Os OTPs, √© claro, expiram para que n√£o possam ser reutilizados ou usados ‚Äč‚Äčap√≥s um per√≠odo de tempo decorrido. Como gerenciadores de senhas, no entanto, toda essa seguran√ßa √© lan√ßada pela janela se o pr√≥prio aplicativo for comprometido.

Para ser justo, n√£o √© o pr√≥prio Google Authenticator que est√° vulner√°vel a uma variedade de malware conhecida como Trojan de banco on-line da Cerberus. Em vez disso, √© um efeito colateral do servi√ßo de acessibilidade √†s vezes muito poderoso do Android que vaza as informa√ß√Ķes 2FA para os hackers. Adicione um Trojan de acesso remoto ou RAT como o Cerberus a isso e voc√™ ter√° uma receita para um pesadelo de seguran√ßa.

Esta vers√£o muito nova do Cerberus abusa dessa funcionalidade de acessibilidade para ler o que deve ser um conte√ļdo muito seguro e muito particular do aplicativo 2FA do Google. Os hackers que usam esse malware podem usar esse c√≥digo para fazer login nas contas banc√°rias online da v√≠tima. Tamb√©m n√£o h√° nada que os impe√ßa de usar c√≥digos n√£o banc√°rios para invadir as outras contas do usu√°rio tamb√©m.

A boa not√≠cia √© que essa cepa de Cerberus ainda n√£o est√° sendo vendida na natureza, pois ainda est√° sendo testada. Isso pode levar algum tempo para o Google proteger o Authenticator e o Android contra esses ataques. Ele tamb√©m serve como um lembrete aos usu√°rios de que, por mais convenientes que sejam os aplicativos 2FA e os gerenciadores de senhas, eles n√£o substituem a vigil√Ęncia e o bom senso.

0 Shares