Estás a ler: Os códigos do Google Authenticator 2FA estão em risco com este malware do Android
Nem todos os sistemas de autenticação de dois fatores, também conhecidos como 2FA, são criados iguais e alguns, como o SMS, são considerados inseguros, mas ainda melhores do que nenhum 2FA. Em vez da biometria onipresente, o método 2FA mais fácil recomendado é o uso de um aplicativo 2FA, do qual o Google Authenticator é talvez o mais popular. Mas e se o próprio aplicativo 2FA for considerado inseguro? Essa é a situação bastante preocupante em que os usuários podem se encontrar, graças a um malware novo, mas felizmente ainda não lançado.
Os aplicativos 2FA, como o Google Authenticator, Authy e LastPass, apenas para citar alguns, funcionam como gerenciadores de senhas, exceto que eles só geram senhas de uso único (OTPs) quando você abre o aplicativo. Os OTPs, é claro, expiram para que não possam ser reutilizados ou usados após um período de tempo decorrido. Como gerenciadores de senhas, no entanto, toda essa segurança é lançada pela janela se o próprio aplicativo for comprometido.
Para ser justo, não é o próprio Google Authenticator que está vulnerável a uma variedade de malware conhecida como Trojan de banco on-line da Cerberus. Em vez disso, é um efeito colateral do serviço de acessibilidade às vezes muito poderoso do Android que vaza as informações 2FA para os hackers. Adicione um Trojan de acesso remoto ou RAT como o Cerberus a isso e você terá uma receita para um pesadelo de segurança.
Esta versão muito nova do Cerberus abusa dessa funcionalidade de acessibilidade para ler o que deve ser um conteúdo muito seguro e muito particular do aplicativo 2FA do Google. Os hackers que usam esse malware podem usar esse código para fazer login nas contas bancárias online da vítima. Também não há nada que os impeça de usar códigos não bancários para invadir as outras contas do usuário também.
A boa notícia é que essa cepa de Cerberus ainda não está sendo vendida na natureza, pois ainda está sendo testada. Isso pode levar algum tempo para o Google proteger o Authenticator e o Android contra esses ataques. Ele também serve como um lembrete aos usuários de que, por mais convenientes que sejam os aplicativos 2FA e os gerenciadores de senhas, eles não substituem a vigilância e o bom senso.
PCtg.net é o lugar perfeito para encontrar as últimas notícias e análises sobre gadgets e aplicativos de tecnologia, bem como dicas e truques sobre como tirar o máximo proveito de sua tecnologia.
