Что не так с двухфакторной аутентификацией (2FA) на Android

Все знают, что у Android с безопасностью дела обстоят откровенно так себе. Не то чтобы я сам регулярно испытывал заражения, но читать о распространении очередного трояна, жертвами которого стали тысячи пользователей, мне приходится регулярно. Причём на вопрос, как же так получается, у меня есть вполне резонный ответ. Просто пользователи в большинстве своём понятия не имеют, как по внешним признакам отличить безопасное ПО от небезопасного. В результате мы имеем сотни и тысячи заражений. Спасает только двухфакторная аутентификация. Ну, по крайней мере, спасала.

2FA

Двухфакторная аутентификация не так надёжна на Android, как, скажем, на iOS

Эксперты признали, что у Android реальные проблемы с безопасностью. Что здесь не так

Для начала предлагаю разобраться, что такое двухфакторная аутентификация, как она работает, зачем нужна и почему вообще все так на неё надеются, когда речь заходит о безопасности.

Зачем нужна двухфакторная аутентификация

Взлом двухфакторной аутентификации

Взломать двухфакторную аутентификацию оказалось проще простого

Если говорить простым языком, двухфакторная аутентификация – это дополнительный шаг при авторизации в учётных записях, который завязан на устройство, теоретически постоянно находящееся при его владельце. То есть, помимо ввода учётных данных, двухфакторная аутентификация предполагает ввод одноразового кода, который отправляется либо по SMS, либо в виде пуш-уведомления после верного ввода пары логин-пароль. Ведь если украсть их злоумышленники в принципе смогут, то вот раздобыть ещё и ваш смартфон, чтобы подтвердить вход – уже вряд ли. Но, к сожалению, на Android двухфакторная аутентификация больше не так надёжна.

Как Android-смартфоны могут обеспечить безопасность iOS

Исследователи компании Check Point Research, занимающиеся изучением проблем безопасности в информационных системах, обнаружили любопытный троян для Android, который сводит надёжность двухфакторной аутентификации на нет. Он работает как шпион. Проникая на устройство своей жертвы, троян тщательно прячется и начинает отслеживать факты авторизации в почтовых приложениях, социальных сетях и мессенджерах. Именно они становятся триггером для его активации. Как только пользователь запускает приложение почты или переходит по адресу почтового сервиса в браузере, троян начинает фиксацию.

Можно ли украсть код двухфакторной аутентификации

Он создаёт на устройстве бэкдор и, как только жертва вводит пару логин-пароль, троян копирует их и отправляет своим создателям. Затем дожидается, когда поступает SMS с кодом двухфакторной аутентификации, и копирует и пересылает уже его. В результате злоумышленники, создавшие троян, получают одновременно и логин с паролем, и код двухфакторной аутентификации для подтверждения авторизации. Но, что хуже всего, даже если жертва что-то почувствует и захочет заблокировать все сеансы, мошенники смогут снова пройти авторизацию, отправив SMS с кодом верификации.

Защита аккаунта

Думаете, двухфакторная аутентификация обеспечивает абсолютную безопасность? Без здравого смысла с вашей стороны даже она бессмысленна

Почему я так уверенно говорю про Android, если, по сути, то же самое могло случиться с любой другой ОС? Но дело в том, что с любой другой ОС такого случиться, к сожалению или к счастью, не могло. Смартфонов на Windows или macOS не существует. Смартфонов на Linux, которыми пользуются хотя бы полтора человека, можно пересчитать по пальцам одной руки. А на iOS такого себе в принципе нельзя представить. Нет, ну вы только подумайте: как троян мог бы пробраться на iPhone? Понятное дело, что никак. Ведь в App Store его точно не пропустят, а скачать софт из-за пределов официального магазина пользователь даже при большом желании не сможет.

Безопасность Android — вот над чем стоит задуматься

Можно ли от этого защититься пользователям Android? Бесспорно, да. Каким бы плохим ни был Google Play, лучше всё-таки скачивать софт именно оттуда, избегая альтернативных источников, тем более тех, о которых слышите в первый раз. Дело в том, что цензоры Google – такие тоже есть, правда – вряд ли допустят к публикации в официальном каталоге настолько опасное ПО. А в сторонних источниках, как правило, заниматься проверкой софта попросту некому. В результате всякий трэш распространяется именно благодаря им. Поэтому просто будьте умнее и осмотрительнее, и никакие трояны вам не грозят.

Теги
Лонгриды для вас
Проектор из камеры
Можно ли превратить телефон на Android в проектор

Чего только не умеют камеры современных смартфонов. Они могут делать фотографии в RAW, сканировать окружающее пространство в 3D, измерять расстояние и объём и делать много чего ещё. Поэтому, когда я недавно в ТикТоке я наткнулся на ролик с демонстрацией приложения, которое способно превратить камеру любого смартфона в самый настоящий проектор, особо не удивился. Видео было очень убедительным, однако переходить по ссылке, предложенной автором, я не стал из соображений безопасности, а отправился в Google Play, чтобы найти его самостоятельно. Оказалось, что такое ПО интересует не только меня.

Читать далее
Защищенный телефон
Я нашёл защищённый смартфон с хорошей камерой и мощной батареей

Я хорошо помню тот временной этап, когда все только начали осваивать сенсорные телефоны. Тогда, помимо сильно упавшей автономности, все жаловались ещё и на невысокую надёжность аппаратов нового типа. Да, их экраны были не в пример больше, чем у наших старых смартфонов, и потреблять с них контент было куда удобнее. Но страх случайного падения такого устройства, который поселился в нас в то время, с тех пор больше никуда не делся. А быть, может, пора прекращать бояться и купить что-то, что будет куда более живучим?

Читать далее
harmonyos
Теперь точно: Harmony OS — это Android 10, но более лёгкий и быстрый

Впервые слухи о том, что HarmonyOS – это переделанный Android появились ещё в прошлом году. Однако реальных подтверждений этой теории не было, если не считать смазанный комментарий представителей Huawei, которые, отвечая на вопрос о том, правда ли, что Harmony OS – это Android, сказали, что компания не планирует конкурировать с Google на этом поле. Затем появились более существенные доказательства, но и тогда многие решили, что Huawei просто готовится к масштабному переходу между платформами, и к релизу все упоминания об Android из ОС исчезнут. Но не тут-то было.

Читать далее
1 комментарий
  1. DrMeth

    Authy нормально справляется. СМС для ретробабушек .

Новый комментарий