Что не так с двухфакторной аутентификацией (2FA) на Android

Все знают, что у Android с безопасностью дела обстоят откровенно так себе. Не то чтобы я сам регулярно испытывал заражения, но читать о распространении очередного трояна, жертвами которого стали тысячи пользователей, мне приходится регулярно. Причём на вопрос, как же так получается, у меня есть вполне резонный ответ. Просто пользователи в большинстве своём понятия не имеют, как по внешним признакам отличить безопасное ПО от небезопасного. В результате мы имеем сотни и тысячи заражений. Спасает только двухфакторная аутентификация. Ну, по крайней мере, спасала.

2FA

Двухфакторная аутентификация не так надёжна на Android, как, скажем, на iOS

Эксперты признали, что у Android реальные проблемы с безопасностью. Что здесь не так

Для начала предлагаю разобраться, что такое двухфакторная аутентификация, как она работает, зачем нужна и почему вообще все так на неё надеются, когда речь заходит о безопасности.

Зачем нужна двухфакторная аутентификация

Взлом двухфакторной аутентификации

Взломать двухфакторную аутентификацию оказалось проще простого

Если говорить простым языком, двухфакторная аутентификация – это дополнительный шаг при авторизации в учётных записях, который завязан на устройство, теоретически постоянно находящееся при его владельце. То есть, помимо ввода учётных данных, двухфакторная аутентификация предполагает ввод одноразового кода, который отправляется либо по SMS, либо в виде пуш-уведомления после верного ввода пары логин-пароль. Ведь если украсть их злоумышленники в принципе смогут, то вот раздобыть ещё и ваш смартфон, чтобы подтвердить вход – уже вряд ли. Но, к сожалению, на Android двухфакторная аутентификация больше не так надёжна.

Как Android-смартфоны могут обеспечить безопасность iOS

Исследователи компании Check Point Research, занимающиеся изучением проблем безопасности в информационных системах, обнаружили любопытный троян для Android, который сводит надёжность двухфакторной аутентификации на нет. Он работает как шпион. Проникая на устройство своей жертвы, троян тщательно прячется и начинает отслеживать факты авторизации в почтовых приложениях, социальных сетях и мессенджерах. Именно они становятся триггером для его активации. Как только пользователь запускает приложение почты или переходит по адресу почтового сервиса в браузере, троян начинает фиксацию.

Можно ли украсть код двухфакторной аутентификации

Он создаёт на устройстве бэкдор и, как только жертва вводит пару логин-пароль, троян копирует их и отправляет своим создателям. Затем дожидается, когда поступает SMS с кодом двухфакторной аутентификации, и копирует и пересылает уже его. В результате злоумышленники, создавшие троян, получают одновременно и логин с паролем, и код двухфакторной аутентификации для подтверждения авторизации. Но, что хуже всего, даже если жертва что-то почувствует и захочет заблокировать все сеансы, мошенники смогут снова пройти авторизацию, отправив SMS с кодом верификации.

Защита аккаунта

Думаете, двухфакторная аутентификация обеспечивает абсолютную безопасность? Без здравого смысла с вашей стороны даже она бессмысленна

Почему я так уверенно говорю про Android, если, по сути, то же самое могло случиться с любой другой ОС? Но дело в том, что с любой другой ОС такого случиться, к сожалению или к счастью, не могло. Смартфонов на Windows или macOS не существует. Смартфонов на Linux, которыми пользуются хотя бы полтора человека, можно пересчитать по пальцам одной руки. А на iOS такого себе в принципе нельзя представить. Нет, ну вы только подумайте: как троян мог бы пробраться на iPhone? Понятное дело, что никак. Ведь в App Store его точно не пропустят, а скачать софт из-за пределов официального магазина пользователь даже при большом желании не сможет.

Безопасность Android — вот над чем стоит задуматься

Можно ли от этого защититься пользователям Android? Бесспорно, да. Каким бы плохим ни был Google Play, лучше всё-таки скачивать софт именно оттуда, избегая альтернативных источников, тем более тех, о которых слышите в первый раз. Дело в том, что цензоры Google – такие тоже есть, правда – вряд ли допустят к публикации в официальном каталоге настолько опасное ПО. А в сторонних источниках, как правило, заниматься проверкой софта попросту некому. В результате всякий трэш распространяется именно благодаря им. Поэтому просто будьте умнее и осмотрительнее, и никакие трояны вам не грозят.

Теги
Новости по теме
Лонгриды для вас
Крутые функции Android, о которых все забыли

Нас часто обвиняют в нелюбви к Android и к отработке заказов Apple. Особенно достаётся мне как активному пользователи сразу обоих мобильных платформ. Стоит только написать о чём-то, отдалённо напоминающем критику Android, как под статьей мгновенно материализуются борцы за справедливость, которые, очевидно, в условиях самоизоляции сходят с ума и уже не знают, на кого ещё, кроме домашних, можно выплеснуть скопившуюся желчь. Тем не менее, я очень люблю Android и ценю его в первую очередь не за обилие доступных устройств, а за широкий спектр функциональных возможностей, которых попросту нет на iOS.

Читать далее
Huawei
Как установить сервисы Google на Huawei. Новый рабочий способ

Отсутствие сервисов Google в прошивке смартфонов Huawei и Honor стало ключевой причиной снижения их популярности. Многие пользователи отказались покупать устройства этих брендов, не желая быть подопытными кроликами, на которых испытывают хоть и перспективные, но малоприменимые в текущих реалиях технологии и решения. Что и говорить, если часть приложений из AppGallery требует для работы наличия сервисов Google? Хорошо, что на земле ещё не перевелись умельцы, которые могут адаптировать службы поискового гиганта для смартфонов Huawei и Honor.

Читать далее
Камера Canon
Как выгружать фотографии с камер Canon в Google Фото

Мало кто знает, что Android изначально задумывался как программная платформа для фотоаппаратов. Энди Рубин, автор идеи, планировал с её помощью оснастить мыльницы и профессиональные камеры поддержкой беспроводной связи, чтобы они выгружали фотографии сразу в облако, не сохраняя их на флешку. Однако что-то не срослось, и проект было решено переориентировать на смартфоны. Доподлинно не известно, что именно подтолкнуло Рубина к смене приоритетов, но поговаривают, что против Android для фотоаппаратов выступили производители карт памяти. Впрочем, это не значит, что шанса связать их с облаком нет совсем.

Читать далее

1 комментарий Оставить свой

  1. DrMeth

    Authy нормально справляется. СМС для ретробабушек .

Новый комментарий