Что не так с двухфакторной аутентификацией (2FA) на Android

Все знают, что у Android с безопасностью дела обстоят откровенно так себе. Не то чтобы я сам регулярно испытывал заражения, но читать о распространении очередного трояна, жертвами которого стали тысячи пользователей, мне приходится регулярно. Причём на вопрос, как же так получается, у меня есть вполне резонный ответ. Просто пользователи в большинстве своём понятия не имеют, как по внешним признакам отличить безопасное ПО от небезопасного. В результате мы имеем сотни и тысячи заражений. Спасает только двухфакторная аутентификация. Ну, по крайней мере, спасала.

Что не так с двухфакторной аутентификацией (2FA) на Android. Двухфакторная аутентификация не так надёжна на Android, как, скажем, на iOS. Фото.

Двухфакторная аутентификация не так надёжна на Android, как, скажем, на iOS

Эксперты признали, что у Android реальные проблемы с безопасностью. Что здесь не так

Для начала предлагаю разобраться, что такое двухфакторная аутентификация, как она работает, зачем нужна и почему вообще все так на неё надеются, когда речь заходит о безопасности.

Зачем нужна двухфакторная аутентификация

Зачем нужна двухфакторная аутентификация. Взломать двухфакторную аутентификацию оказалось проще простого. Фото.

Взломать двухфакторную аутентификацию оказалось проще простого

Если говорить простым языком, двухфакторная аутентификация – это дополнительный шаг при авторизации в учётных записях, который завязан на устройство, теоретически постоянно находящееся при его владельце. То есть, помимо ввода учётных данных, двухфакторная аутентификация предполагает ввод одноразового кода, который отправляется либо по SMS, либо в виде пуш-уведомления после верного ввода пары логин-пароль. Ведь если украсть их злоумышленники в принципе смогут, то вот раздобыть ещё и ваш смартфон, чтобы подтвердить вход – уже вряд ли. Но, к сожалению, на Android двухфакторная аутентификация больше не так надёжна.

Как Android-смартфоны могут обеспечить безопасность iOS

Исследователи компании Check Point Research, занимающиеся изучением проблем безопасности в информационных системах, обнаружили любопытный троян для Android, который сводит надёжность двухфакторной аутентификации на нет. Он работает как шпион. Проникая на устройство своей жертвы, троян тщательно прячется и начинает отслеживать факты авторизации в почтовых приложениях, социальных сетях и мессенджерах. Именно они становятся триггером для его активации. Как только пользователь запускает приложение почты или переходит по адресу почтового сервиса в браузере, троян начинает фиксацию.

Можно ли украсть код двухфакторной аутентификации

Он создаёт на устройстве бэкдор и, как только жертва вводит пару логин-пароль, троян копирует их и отправляет своим создателям. Затем дожидается, когда поступает SMS с кодом двухфакторной аутентификации, и копирует и пересылает уже его. В результате злоумышленники, создавшие троян, получают одновременно и логин с паролем, и код двухфакторной аутентификации для подтверждения авторизации. Но, что хуже всего, даже если жертва что-то почувствует и захочет заблокировать все сеансы, мошенники смогут снова пройти авторизацию, отправив SMS с кодом верификации.

Можно ли украсть код двухфакторной аутентификации. Думаете, двухфакторная аутентификация обеспечивает абсолютную безопасность? Без здравого смысла с вашей стороны даже она бессмысленна. Фото.

Думаете, двухфакторная аутентификация обеспечивает абсолютную безопасность? Без здравого смысла с вашей стороны даже она бессмысленна

Почему я так уверенно говорю про Android, если, по сути, то же самое могло случиться с любой другой ОС? Но дело в том, что с любой другой ОС такого случиться, к сожалению или к счастью, не могло. Смартфонов на Windows или macOS не существует. Смартфонов на Linux, которыми пользуются хотя бы полтора человека, можно пересчитать по пальцам одной руки. А на iOS такого себе в принципе нельзя представить. Нет, ну вы только подумайте: как троян мог бы пробраться на iPhone? Понятное дело, что никак. Ведь в App Store его точно не пропустят, а скачать софт из-за пределов официального магазина пользователь даже при большом желании не сможет.

Безопасность Android — вот над чем стоит задуматься

Можно ли от этого защититься пользователям Android? Бесспорно, да. Каким бы плохим ни был Google Play, лучше всё-таки скачивать софт именно оттуда, избегая альтернативных источников, тем более тех, о которых слышите в первый раз. Дело в том, что цензоры Google – такие тоже есть, правда – вряд ли допустят к публикации в официальном каталоге настолько опасное ПО. А в сторонних источниках, как правило, заниматься проверкой софта попросту некому. В результате всякий трэш распространяется именно благодаря им. Поэтому просто будьте умнее и осмотрительнее, и никакие трояны вам не грозят.

Теги
Лонгриды для вас
5 причин не покупать Яндекс Станцию Мини 2, даже если очень хочется

Если считать количество запросов в поисковике главным показателем спроса на тот или иной продукт, окажется, что Яндекс Станция Мини — самая популярная умная колонка в России. Чем же это обусловлено? В первую очередь активной рекламной кампанией, а во вторую — отсутствием негативных отзывов. Но уж простите, не могу я назвать свою Яндекс Станцию Мини 2 лучшей умной колонкой за свои деньги, и это еще мягко сказано. Сейчас объясню, что с ней не так.

Читать далее
Можно ли сделать умную колонку из обычной, подключив ее к Android-смартфону

Я скептически отношусь к умным колонкам. И главная моя претензия не столько в самой концепцией общения с воображаемым другом, сколько в цене подобных устройств. Самая дешевая Яндекс Станция Лайт с 5-ваттным динамиком стоит 4 990 ₽, в то время как за эти же деньги можно купить 10 китайских Bluetooth-колонок с аналогичным качеством звука. Спрашивается, зачем платить больше, если можно сделать умную колонку, подключив дешевый спикер к своему смартфону?

Читать далее
Вышло важное обновление Ватсапа. Теперь в нем можно отправлять фотографии без потери качества

Как бы мы ни хвалили Телеграм и не старались перетянуть на него большую часть наших родственников и друзей, Ватсап все равно остается самым популярным мессенджером в мире. Самое забавное, что, видимо, разработчики осознали, что их приложение безнадежно отставало от Телеграма по возможностям, и начали буквально в истерике запихивать новые функции в Ватсап. Так теперь можно входить в одну учетную запись на разных устройствах и подписываться на разные каналы. Но самое крутое нововведение ждало нас в последнем обновлении.

Читать далее