Google Authenticator: 2FA-Codes lassen sich einfach abgreifen

Google Authenticator, Microsoft Authenticator und etliche andere Apps zur Zwei-Faktor-Authentifizierung haben keinen Schutz vor Screenshots eingerichtet. Eine Schadsoftware soll dies bereits ausnutzen.

Artikel veröffentlicht am ,
Der Google Authenticator
Der Google Authenticator (Bild: Oliver Nickel/Golem.de)

Google hat es bei seiner beliebten App zur Zwei-Faktor-Authentifizierung bisher versäumt, eine grundlegende Schutzfunktion zu implementieren: Von der App Google Authenticator können Screenshots erstellt werden. Das können andere Apps nutzen, um eine Aufnahme der sechs- oder achtstelligen TOTP-Codes zu erstellen und damit die Zwei-Faktor-Authentifizierung zu umgehen. Eine Schadsoftware soll das Problem bereits ausnutzen, bekannt ist es bereits sei 2014.

Stellenmarkt
  1. Softwareentwickler Webanwendungen (m/w/d)
    ServiceXpert Gesellschaft für Service-Informationssysteme mbH, Hamburg
  2. Manager Informationssicherheit / Datenschutz Erzeugung (w/m/d)
    EnBW Energie Baden-Württemberg AG, Stuttgart
Detailsuche

Android-Apps können über die Option FLAG_SECURE das Erstellen von Screenshots verhindern. Auf Github gibt es bereits seit 2014 und 2016 Tickets, die die Sicherheitsfunktion bei Google Authenticator anmahnen. Die Sicherheitsfirma Nightwatch meldete das Problem 2017 ein weiteres Mal und will ein Bug Bounty dafür erhalten haben. Das Problem blieb jedoch bestehen.

Microsoft Authenticator hat das gleiche Problem

2018 hatte die Sicherheitsfirma auch Microsoft auf das gleiche Problem in seiner App Microsoft Authenticator hingewiesen. In einem Kurztest in der Redaktion konnten wir sowohl bei Microsoft Authenticator als auch beim Google Authenticator Screenshots erstellen. Auch der RSI Authenticator des Spiels Star Citizen und Steam Guard der Spieleplattform Steam erlaubten das Erstellen von Screenshots. Die App andOTP hingegen nutzte die Sicherheitseinstellung und ließ keine Screenshots zu.

Laut einem Bericht des Onlinemagazins ZDnet verwendet der Trojaner Cerberus die Screenshotfunktion, um die TOTP-Codes des Google Authenticators abzugreifen. Die Funktion befinde sich jedoch noch in der Entwicklung und würde noch nicht aktiv ausgenutzt. Demnach könnten Angreifer mit der Schadsoftware direkt auf das Smartphone der Opfer zugreifen (Remote-Access-Tool, RAT), den Google Authenticator öffnen, einen Screenshot erstellen und an den Command-and-Control-Server schicken lassen. Die Codes müssten dann zeitnah verwendet werden, da sich diese alle 30 Sekunden ändern. Je nach Server-Konfiguration akzeptieren die Server neben dem aktuellen, auch vergangene oder zukünftige Codes.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


tearcatcher 11. Mär 2020

MS Authenticator ist dann wohl ein Sonderfall, dass dieser Internetzugang braucht bzw...

Prypjat 10. Mär 2020

Ich nutze den Google Authenticator für Uplay und Epic. Sobald der neue Code generiert...

unbuntu 10. Mär 2020

Bei nem PW-Manager geht ja alles offline, daher die Frage. Wenn ich im tiefsten Keller...

WalterWhite 10. Mär 2020

Tippen zum Kopieren ist auch beim Google authenticator so.

fn.ord 10. Mär 2020

Ja, stimmt. Das Problem ist nur, dass man das nur den Weg zum eigenen Mail-Server unter...



Aktuell auf der Startseite von Golem.de
Resident Evil (1996)
Grauenhaft gut

Resident Evil zeigte vor 25 Jahren, wie Horror im Videospiel auszusehen hat. Wir schauen uns den Klassiker im Golem retro_ an.

Resident Evil (1996): Grauenhaft gut
Artikel
  1. Amazon: Alexa wacht über Waschmaschinen und laufenden Wasserhahn
    Amazon
    Alexa wacht über Waschmaschinen und laufenden Wasserhahn

    Alexa kann hierzulande eine Waschmaschine oder einen Wasserhahn belauschen und Bescheid geben, wenn etwa die Wäsche fertig ist.

  2. Kanadische Polizei: Diebe nutzen Apples Airtags zum Tracking von Luxuswagen
    Kanadische Polizei
    Diebe nutzen Apples Airtags zum Tracking von Luxuswagen

    Autodiebe in Kanada nutzen offenbar Apples Airtags, um Fahrzeuge heimlich zu orten.

  3. Studie: Kinder erhalten Smartphone meist zwischen 6 und 11 Jahren
    Studie
    Kinder erhalten Smartphone meist zwischen 6 und 11 Jahren

    Nur eine sehr geringe Minderheit der Eltern will ihrem Kind erst mit 15 Jahren ein Smartphone zur Verfügung stellen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Samsung Portable SSD T5 1 TB 84€ • ViewSonic VX2718-2KPC-MHD (WQHD, 165 Hz) 229€ • EPOS Sennheiser GSP 670 199€ • EK Water Blocks Elite Aurum 360 D-RGB All in One 205,89€ • KFA2 Geforce RTX 3070 OC 8 GB 1.019€ • Alternate (u. a. AKRacing Core SX 269,98€) [Werbung]
    •  /