Что не так с двухфакторной аутентификацией (2FA) на Android

Все знают, что у Android с безопасностью дела обстоят откровенно так себе. Не то чтобы я сам регулярно испытывал заражения, но читать о распространении очередного трояна, жертвами которого стали тысячи пользователей, мне приходится регулярно. Причём на вопрос, как же так получается, у меня есть вполне резонный ответ. Просто пользователи в большинстве своём понятия не имеют, как по внешним признакам отличить безопасное ПО от небезопасного. В результате мы имеем сотни и тысячи заражений. Спасает только двухфакторная аутентификация. Ну, по крайней мере, спасала.

2FA

Двухфакторная аутентификация не так надёжна на Android, как, скажем, на iOS

Эксперты признали, что у Android реальные проблемы с безопасностью. Что здесь не так

Для начала предлагаю разобраться, что такое двухфакторная аутентификация, как она работает, зачем нужна и почему вообще все так на неё надеются, когда речь заходит о безопасности.

Зачем нужна двухфакторная аутентификация

Взлом двухфакторной аутентификации

Взломать двухфакторную аутентификацию оказалось проще простого

Если говорить простым языком, двухфакторная аутентификация – это дополнительный шаг при авторизации в учётных записях, который завязан на устройство, теоретически постоянно находящееся при его владельце. То есть, помимо ввода учётных данных, двухфакторная аутентификация предполагает ввод одноразового кода, который отправляется либо по SMS, либо в виде пуш-уведомления после верного ввода пары логин-пароль. Ведь если украсть их злоумышленники в принципе смогут, то вот раздобыть ещё и ваш смартфон, чтобы подтвердить вход – уже вряд ли. Но, к сожалению, на Android двухфакторная аутентификация больше не так надёжна.

Как Android-смартфоны могут обеспечить безопасность iOS

Исследователи компании Check Point Research, занимающиеся изучением проблем безопасности в информационных системах, обнаружили любопытный троян для Android, который сводит надёжность двухфакторной аутентификации на нет. Он работает как шпион. Проникая на устройство своей жертвы, троян тщательно прячется и начинает отслеживать факты авторизации в почтовых приложениях, социальных сетях и мессенджерах. Именно они становятся триггером для его активации. Как только пользователь запускает приложение почты или переходит по адресу почтового сервиса в браузере, троян начинает фиксацию.

Можно ли украсть код двухфакторной аутентификации

Он создаёт на устройстве бэкдор и, как только жертва вводит пару логин-пароль, троян копирует их и отправляет своим создателям. Затем дожидается, когда поступает SMS с кодом двухфакторной аутентификации, и копирует и пересылает уже его. В результате злоумышленники, создавшие троян, получают одновременно и логин с паролем, и код двухфакторной аутентификации для подтверждения авторизации. Но, что хуже всего, даже если жертва что-то почувствует и захочет заблокировать все сеансы, мошенники смогут снова пройти авторизацию, отправив SMS с кодом верификации.

Защита аккаунта

Думаете, двухфакторная аутентификация обеспечивает абсолютную безопасность? Без здравого смысла с вашей стороны даже она бессмысленна

Почему я так уверенно говорю про Android, если, по сути, то же самое могло случиться с любой другой ОС? Но дело в том, что с любой другой ОС такого случиться, к сожалению или к счастью, не могло. Смартфонов на Windows или macOS не существует. Смартфонов на Linux, которыми пользуются хотя бы полтора человека, можно пересчитать по пальцам одной руки. А на iOS такого себе в принципе нельзя представить. Нет, ну вы только подумайте: как троян мог бы пробраться на iPhone? Понятное дело, что никак. Ведь в App Store его точно не пропустят, а скачать софт из-за пределов официального магазина пользователь даже при большом желании не сможет.

Безопасность Android — вот над чем стоит задуматься

Можно ли от этого защититься пользователям Android? Бесспорно, да. Каким бы плохим ни был Google Play, лучше всё-таки скачивать софт именно оттуда, избегая альтернативных источников, тем более тех, о которых слышите в первый раз. Дело в том, что цензоры Google – такие тоже есть, правда – вряд ли допустят к публикации в официальном каталоге настолько опасное ПО. А в сторонних источниках, как правило, заниматься проверкой софта попросту некому. В результате всякий трэш распространяется именно благодаря им. Поэтому просто будьте умнее и осмотрительнее, и никакие трояны вам не грозят.

Теги
Лонгриды для вас
Google Ассистент
Как включить быстрые команды для Google Ассистента на Android

Google Ассистент – это, пожалуй, лучший голосовой помощник, которого только можно себе представить. Он умный, быстрый, функциональный. В отличие от Siri, Google Ассистент действительно может помочь, выполняя мелкие поручения, отвечая на самые разные вопросы и давая полезные. советы. Жаль только, что несколько последовательных действий голосовой помощник Google совершить не мог. Поэтому пользователям было проще сделать всё самостоятельно, тогда как на iOS был доступен специальный сервис «Быстрые команды», аналог которого появился и на Android.

Читать далее
Google Pay
Как Google может сделать Google Pay лучше

Google Pay – это один из тех сервисов, которыми я пользуюсь на постоянной основе. Помнится, я несколько раз пытался от него отказаться, пересаживаясь то на Кошелёк Pay, то на SberPay, но в результате неизменно возвращался обратно. Просто так уж вышло, что глубокая интеграция Google Pay с Android способствует тому, что адекватно пользоваться можно только им, да разве что Samsung Pay, если речь идёт о смартфонах Samsung. Другое дело, что это совсем не значит, что вариантов для улучшения фирменного сервиса бесконтактных платежей Google нет.

Читать далее
Фото Pixel 5
Google представила Pixel 5 с дешёвым процессором и старой камерой

Несмотря на то что прошло целых пять лет с тех пор, как Google отказалась от смартфонов линейки Nexus, пользователи по-прежнему вспоминают их с теплотой. Мало того, что эти аппараты продавались во всех странах мира, так они ещё и стоили в большинстве своём более-менее вменяемых денег. Но в какой-то момент Google решила, что Nexus себя изжили, и их нужно заменить на что-нибудь другое. Так появились смартфоны Pixel, с которыми на протяжении вот уже пяти поколений поисковый гигант пытается повторить успех «нексусов».

Читать далее
1 комментарий Оставить свой
  1. DrMeth

    Authy нормально справляется. СМС для ретробабушек .

Новый комментарий