Original-URL des Artikels: https://www.golem.de/news/google-authenticator-2fa-codes-lassen-sich-einfach-abgreifen-2003-147119.html    Veröffentlicht: 09.03.2020 11:33    Kurz-URL: https://glm.io/147119

Google Authenticator

2FA-Codes lassen sich einfach abgreifen

Google Authenticator, Microsoft Authenticator und etliche andere Apps zur Zwei-Faktor-Authentifizierung haben keinen Schutz vor Screenshots eingerichtet. Eine Schadsoftware soll dies bereits ausnutzen.

Google hat es bei seiner beliebten App zur Zwei-Faktor-Authentifizierung bisher versäumt, eine grundlegende Schutzfunktion zu implementieren: Von der App Google Authenticator können Screenshots erstellt werden. Das können andere Apps nutzen, um eine Aufnahme der sechs- oder achtstelligen TOTP-Codes zu erstellen und damit die Zwei-Faktor-Authentifizierung zu umgehen. Eine Schadsoftware soll das Problem bereits ausnutzen, bekannt ist es bereits sei 2014.

Android-Apps können über die Option FLAG_SECURE das Erstellen von Screenshots verhindern. Auf Github gibt es bereits seit 2014 und 2016 Tickets, die die Sicherheitsfunktion bei Google Authenticator anmahnen. Die Sicherheitsfirma Nightwatch meldete das Problem 2017 ein weiteres Mal und will ein Bug Bounty dafür erhalten haben. Das Problem blieb jedoch bestehen.

Microsoft Authenticator hat das gleiche Problem

2018 hatte die Sicherheitsfirma auch Microsoft auf das gleiche Problem in seiner App Microsoft Authenticator hingewiesen. In einem Kurztest in der Redaktion konnten wir sowohl bei Microsoft Authenticator als auch beim Google Authenticator Screenshots erstellen. Auch der RSI Authenticator des Spiels Star Citizen und Steam Guard der Spieleplattform Steam erlaubten das Erstellen von Screenshots. Die App andOTP hingegen nutzte die Sicherheitseinstellung und ließ keine Screenshots zu.

Laut einem Bericht des Onlinemagazins ZDnet verwendet der Trojaner Cerberus die Screenshotfunktion, um die TOTP-Codes des Google Authenticators abzugreifen. Die Funktion befinde sich jedoch noch in der Entwicklung und würde noch nicht aktiv ausgenutzt. Demnach könnten Angreifer mit der Schadsoftware direkt auf das Smartphone der Opfer zugreifen (Remote-Access-Tool, RAT), den Google Authenticator öffnen, einen Screenshot erstellen und an den Command-and-Control-Server schicken lassen. Die Codes müssten dann zeitnah verwendet werden, da sich diese alle 30 Sekunden ändern. Je nach Server-Konfiguration akzeptieren die Server neben dem aktuellen, auch vergangene oder zukünftige Codes.

 (mtr)


Verwandte Artikel:
Titan: Neuer Fido-Stick mit USB-C von Google   
(17.10.2019, https://glm.io/144469 )
Windows Update: Keine Bluetooth-Verbindung zu unsicheren Geräten   
(12.06.2019, https://glm.io/141850 )
Kollaboration: Nextcloud 17 bringt virtuelle Datenräume und Remote Wipe   
(30.09.2019, https://glm.io/144170 )
2FA mit TOTP-Standard: GMX sichert Mail und Cloud mit zweitem Faktor   
(05.06.2019, https://glm.io/141680 )
Sicherheitslücken in Titan: Google tauscht hauseigenen Fido-Stick aus   
(16.05.2019, https://glm.io/141292 )

© 1997–2020 Golem.de, https://www.golem.de/