Inte alla tvåfaktors autentiseringssystem, även 2FA, skapas lika och vissa, till exempel SMS, anses vara osäkra men är fortfarande bättre än ingen 2FA alls. Som en ersättning för biometri överallt är den enklaste rekommenderade 2FA-metoden användningen av 2FA-applikationen som Google Authenticator kanske är den mest populära. Men vad händer om själva 2FA-applikationen är känd för att vara osäker? Det är en ganska oroande situation som användare kan uppleva tack vare ny skadlig programvara som lyckligtvis inte har släppts.
2FA-applikationer som Google Authenticator, Authy och LastPass, bara för att nämna några, fungerar ganska mycket som lösenordshanterare om de inte bara genererar engångslösenord (OTP) när du öppnar applikationen. OTP löper naturligtvis ut så att det inte kan återanvändas eller ens användas efter en tidsperiod. Liksom lösenordshanteraren kastas all säkerhet ut ur fönstret om själva applikationen äventyras.
För att vara rättvis är det inte själva Google Authenticator som är sårbart för en serie av skadlig programvara som kallas Cerberus online-bank-trojan. Istället är detta en bieffekt av Android Accessibility-tjänsten som ibland är för stark för att läcker 2FA-information till hackare. Lägg till en Trojan med fjärråtkomst eller RAT som Cerberus till den och du har ett recept på en säkerhetsmardröm.
Detta är en mycket ny version av Cerberus missbruk av tillgänglighetsfunktionen att läsa vad som ska vara mycket säkert och mycket personligt innehåll från Googles 2FA-applikation. Hackare som använder denna skadliga programvara kan sedan använda koden för att logga in på offrets onlinekonton. Det finns inte heller något som hindrar dem från att använda icke-bankkoder för att hacka andra användares konton också.
Den goda nyheten är att Cerberus-stammen enligt uppgift ännu inte säljs i naturen eftersom den fortfarande är under hård testning. Det kan ge Google tid att säkra Authenticator och Android från sådana attacker. Det fungerar också som en påminnelse för bekväma användare som 2FA-applikationen och lösenordshanteraren, de ersätter inte försiktighet och sunt förnuft.
