• IT-Karriere:
  • Services:

Google Authenticator: 2FA-Codes lassen sich einfach abgreifen

Google Authenticator, Microsoft Authenticator und etliche andere Apps zur Zwei-Faktor-Authentifizierung haben keinen Schutz vor Screenshots eingerichtet. Eine Schadsoftware soll dies bereits ausnutzen.

Artikel veröffentlicht am ,
Der Google Authenticator
Der Google Authenticator (Bild: Oliver Nickel/Golem.de)

Google hat es bei seiner beliebten App zur Zwei-Faktor-Authentifizierung bisher versäumt, eine grundlegende Schutzfunktion zu implementieren: Von der App Google Authenticator können Screenshots erstellt werden. Das können andere Apps nutzen, um eine Aufnahme der sechs- oder achtstelligen TOTP-Codes zu erstellen und damit die Zwei-Faktor-Authentifizierung zu umgehen. Eine Schadsoftware soll das Problem bereits ausnutzen, bekannt ist es bereits sei 2014.

Stellenmarkt
  1. S-Kreditpartner GmbH, Berlin
  2. Stadt Norderney, Norderney

Android-Apps können über die Option FLAG_SECURE das Erstellen von Screenshots verhindern. Auf Github gibt es bereits seit 2014 und 2016 Tickets, die die Sicherheitsfunktion bei Google Authenticator anmahnen. Die Sicherheitsfirma Nightwatch meldete das Problem 2017 ein weiteres Mal und will ein Bug Bounty dafür erhalten haben. Das Problem blieb jedoch bestehen.

Microsoft Authenticator hat das gleiche Problem

2018 hatte die Sicherheitsfirma auch Microsoft auf das gleiche Problem in seiner App Microsoft Authenticator hingewiesen. In einem Kurztest in der Redaktion konnten wir sowohl bei Microsoft Authenticator als auch beim Google Authenticator Screenshots erstellen. Auch der RSI Authenticator des Spiels Star Citizen und Steam Guard der Spieleplattform Steam erlaubten das Erstellen von Screenshots. Die App andOTP hingegen nutzte die Sicherheitseinstellung und ließ keine Screenshots zu.

Laut einem Bericht des Onlinemagazins ZDnet verwendet der Trojaner Cerberus die Screenshotfunktion, um die TOTP-Codes des Google Authenticators abzugreifen. Die Funktion befinde sich jedoch noch in der Entwicklung und würde noch nicht aktiv ausgenutzt. Demnach könnten Angreifer mit der Schadsoftware direkt auf das Smartphone der Opfer zugreifen (Remote-Access-Tool, RAT), den Google Authenticator öffnen, einen Screenshot erstellen und an den Command-and-Control-Server schicken lassen. Die Codes müssten dann zeitnah verwendet werden, da sich diese alle 30 Sekunden ändern. Je nach Server-Konfiguration akzeptieren die Server neben dem aktuellen, auch vergangene oder zukünftige Codes.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Borderlands: The Handsome Collection für 13,99€, Sid Meier's Civilization VI für 13...
  2. (-27%) 14,50€

tearcatcher 11. Mär 2020

MS Authenticator ist dann wohl ein Sonderfall, dass dieser Internetzugang braucht bzw...

Prypjat 10. Mär 2020

Ich nutze den Google Authenticator für Uplay und Epic. Sobald der neue Code generiert...

unbuntu 10. Mär 2020

Bei nem PW-Manager geht ja alles offline, daher die Frage. Wenn ich im tiefsten Keller...

WalterWhite 10. Mär 2020

Tippen zum Kopieren ist auch beim Google authenticator so.

fn.ord 10. Mär 2020

Ja, stimmt. Das Problem ist nur, dass man das nur den Weg zum eigenen Mail-Server unter...


Folgen Sie uns
       


Surface Book 3 - Test

Das Surface Book ist einmal mehr ein exzellentes Notebook, das viele Nischen bedient. Allerdings hätten wir uns nach fünf Jahren ein wenig mehr Neues gewünscht.

Surface Book 3 - Test Video aufrufen
    •  /