Google Authenticator laat screenshots van OTP-codes maken

[Captain Kirk]

De Google Authenticator-app die voor tweefactorauthenticatie (2FA) wordt gebruikt staat het toe dat er screenshots van OTP-codes worden gemaakt. Het probleem is al sinds 2014 bekend en het is onwaarschijnlijk dat Google met een oplossing zal komen.

De Authenticator-app is namelijk al sinds 27 september 2017 niet meer bijgewerkt. Onlangs werd bekend dat de Cerberus-malware voor Android in staat is om OTP-codes van Google Authenticator te stelen. Een probleem dat in 2017 al door securitybedrijf Nightwatch Cybersecurity aan Google was gerapporteerd. Het bedrijf waarschuwde dat als het toestel van de gebruiker met een kwaadaardige app besmet raakt, die app gegenereerde OTP-codes kan vastleggen. Daarmee wordt de tweefactorauthenticatie gebroken, aldus Nightwatch Cybersecurity.

Dergelijke activiteiten van kwaadaardige apps zijn via een bepaalde optie te voorkomen, maar daar maakt Google Authenticator geen gebruik van. Op 10 mei 2017 rapporteerde Nightwatch Cybersecurity het probleem bij Google. Een oplossing werd echter nooit doorgevoerd. Nu onlangs bekend werd dat de Cerberus-malware van deze omissie gebruikmaakt besloot het securitybedrijf de details van de bugmelding te openbaren.

"Het is prima om de ontwikkeling van software te staken. Het is oké om te bepalen dat je beperkte middelen ergens anders beter zijn te gebruiken. Het is niet oké om een open beveiligingsstandaard te promoten, mensen te overtuigen om je propriëtaire app te gebruiken en die dan te verlaten", zegt Terence Eden, hoofd open technologie van NHSX, een speciale techafdeling van de Britse gezondheidszorg NHS.

 

 

bron: security.nl