Google Authenticator: 2FA-Codes lassen sich einfach abgreifen

Google Authenticator, Microsoft Authenticator und etliche andere Apps zur Zwei-Faktor-Authentifizierung haben keinen Schutz vor Screenshots eingerichtet. Eine Schadsoftware soll dies bereits ausnutzen.

Artikel veröffentlicht am ,
Der Google Authenticator
Der Google Authenticator (Bild: Oliver Nickel/Golem.de)

Google hat es bei seiner beliebten App zur Zwei-Faktor-Authentifizierung bisher versäumt, eine grundlegende Schutzfunktion zu implementieren: Von der App Google Authenticator können Screenshots erstellt werden. Das können andere Apps nutzen, um eine Aufnahme der sechs- oder achtstelligen TOTP-Codes zu erstellen und damit die Zwei-Faktor-Authentifizierung zu umgehen. Eine Schadsoftware soll das Problem bereits ausnutzen, bekannt ist es bereits sei 2014.

Stellenmarkt
  1. Digitalisierungsmanager / Prozessmanager (m/w/d)
    Landkreis Osterholz, Osterholz-Scharmbeck
  2. Ingenieur für Funktions- und Softwareentwicklung neuartiger Antriebskonzepte (m/w/d)
    Schaeffler Automotive Buehl GmbH & Co. KG, Bühl
Detailsuche

Android-Apps können über die Option FLAG_SECURE das Erstellen von Screenshots verhindern. Auf Github gibt es bereits seit 2014 und 2016 Tickets, die die Sicherheitsfunktion bei Google Authenticator anmahnen. Die Sicherheitsfirma Nightwatch meldete das Problem 2017 ein weiteres Mal und will ein Bug Bounty dafür erhalten haben. Das Problem blieb jedoch bestehen.

Microsoft Authenticator hat das gleiche Problem

2018 hatte die Sicherheitsfirma auch Microsoft auf das gleiche Problem in seiner App Microsoft Authenticator hingewiesen. In einem Kurztest in der Redaktion konnten wir sowohl bei Microsoft Authenticator als auch beim Google Authenticator Screenshots erstellen. Auch der RSI Authenticator des Spiels Star Citizen und Steam Guard der Spieleplattform Steam erlaubten das Erstellen von Screenshots. Die App andOTP hingegen nutzte die Sicherheitseinstellung und ließ keine Screenshots zu.

Laut einem Bericht des Onlinemagazins ZDnet verwendet der Trojaner Cerberus die Screenshotfunktion, um die TOTP-Codes des Google Authenticators abzugreifen. Die Funktion befinde sich jedoch noch in der Entwicklung und würde noch nicht aktiv ausgenutzt. Demnach könnten Angreifer mit der Schadsoftware direkt auf das Smartphone der Opfer zugreifen (Remote-Access-Tool, RAT), den Google Authenticator öffnen, einen Screenshot erstellen und an den Command-and-Control-Server schicken lassen. Die Codes müssten dann zeitnah verwendet werden, da sich diese alle 30 Sekunden ändern. Je nach Server-Konfiguration akzeptieren die Server neben dem aktuellen, auch vergangene oder zukünftige Codes.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


tearcatcher 11. Mär 2020

MS Authenticator ist dann wohl ein Sonderfall, dass dieser Internetzugang braucht bzw...

Prypjat 10. Mär 2020

Ich nutze den Google Authenticator für Uplay und Epic. Sobald der neue Code generiert...

unbuntu 10. Mär 2020

Bei nem PW-Manager geht ja alles offline, daher die Frage. Wenn ich im tiefsten Keller...

WalterWhite 10. Mär 2020

Tippen zum Kopieren ist auch beim Google authenticator so.



Aktuell auf der Startseite von Golem.de
Krise bei visuellen Effekten
Bitte alles schnell und billig

Für Kino und Streaming werden immer mehr effektintensive Filme und Serien gemacht. Wer dabei auf der Strecke bleibt: die Menschen, die diese Effekte möglich machen.
Von Peter Osteried

Krise bei visuellen Effekten: Bitte alles schnell und billig
Artikel
  1. Paramount+ im Test: Paramounts peinliche Premiere
    Paramount+ im Test
    Paramounts peinliche Premiere

    Ein kleiner Katalog an Filmen und Serien, gepaart mit vielen technischen Einschränkungen. So wird Paramount+ Disney+, Netflix und Prime Video nicht gefährlich.
    Ein Test von Ingo Pakalski

  2. So funktioniert der Strommarkt: Der Preis ist heiß
    So funktioniert der Strommarkt
    Der Preis ist heiß

    Mit der Liberalisierung hat die Politik den Strommarkt entfesselt. Dafür zahlen die Verbraucher nun die Rechnung.
    Eine Analyse von Hermannus Pfeiffer

  3. Smartphones: Huawei schliesst große Patentverträge mit Oppo und Samsung
    Smartphones
    Huawei schliesst große Patentverträge mit Oppo und Samsung

    Huawei hat sich mit den großen Smartphoneherstellern Oppo und Samsung geeinigt, Patente zu tauschen und dafür zu zahlen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Crucial P5 Plus 2 TB 179€ • SanDisk SSD Plus 1 TB 59,99€ • Gaming-Monitore bis -37% • MindStar: Noctua NH-D9 DX-4189 4U 79€ und Sapphire RX 6900 XT 899€ • Alternate: Razer Quick Charging Stand 26,98€ • Samsung SSDs -bis 28% • Logitech Mäuse, Tastaturen & Headsets -53% [Werbung]
    •  /