Что не так с двухфакторной аутентификацией (2FA) на Android

  2. Темы
  3. OS
Иван Кузнецов 1

Все знают, что у Android с безопасностью дела обстоят откровенно так себе. Не то чтобы я сам регулярно испытывал заражения, но читать о распространении очередного трояна, жертвами которого стали тысячи пользователей, мне приходится регулярно. Причём на вопрос, как же так получается, у меня есть вполне резонный ответ. Просто пользователи в большинстве своём понятия не имеют, как по внешним признакам отличить безопасное ПО от небезопасного. В результате мы имеем сотни и тысячи заражений. Спасает только двухфакторная аутентификация. Ну, по крайней мере, спасала.

2FA

Двухфакторная аутентификация не так надёжна на Android, как, скажем, на iOS

Эксперты признали, что у Android реальные проблемы с безопасностью. Что здесь не так

Для начала предлагаю разобраться, что такое двухфакторная аутентификация, как она работает, зачем нужна и почему вообще все так на неё надеются, когда речь заходит о безопасности.

Зачем нужна двухфакторная аутентификация

Взлом двухфакторной аутентификации

Взломать двухфакторную аутентификацию оказалось проще простого

Если говорить простым языком, двухфакторная аутентификация – это дополнительный шаг при авторизации в учётных записях, который завязан на устройство, теоретически постоянно находящееся при его владельце. То есть, помимо ввода учётных данных, двухфакторная аутентификация предполагает ввод одноразового кода, который отправляется либо по SMS, либо в виде пуш-уведомления после верного ввода пары логин-пароль. Ведь если украсть их злоумышленники в принципе смогут, то вот раздобыть ещё и ваш смартфон, чтобы подтвердить вход – уже вряд ли. Но, к сожалению, на Android двухфакторная аутентификация больше не так надёжна.

Как Android-смартфоны могут обеспечить безопасность iOS

Исследователи компании Check Point Research, занимающиеся изучением проблем безопасности в информационных системах, обнаружили любопытный троян для Android, который сводит надёжность двухфакторной аутентификации на нет. Он работает как шпион. Проникая на устройство своей жертвы, троян тщательно прячется и начинает отслеживать факты авторизации в почтовых приложениях, социальных сетях и мессенджерах. Именно они становятся триггером для его активации. Как только пользователь запускает приложение почты или переходит по адресу почтового сервиса в браузере, троян начинает фиксацию.

Можно ли украсть код двухфакторной аутентификации

Он создаёт на устройстве бэкдор и, как только жертва вводит пару логин-пароль, троян копирует их и отправляет своим создателям. Затем дожидается, когда поступает SMS с кодом двухфакторной аутентификации, и копирует и пересылает уже его. В результате злоумышленники, создавшие троян, получают одновременно и логин с паролем, и код двухфакторной аутентификации для подтверждения авторизации. Но, что хуже всего, даже если жертва что-то почувствует и захочет заблокировать все сеансы, мошенники смогут снова пройти авторизацию, отправив SMS с кодом верификации.

Защита аккаунта

Думаете, двухфакторная аутентификация обеспечивает абсолютную безопасность? Без здравого смысла с вашей стороны даже она бессмысленна

Почему я так уверенно говорю про Android, если, по сути, то же самое могло случиться с любой другой ОС? Но дело в том, что с любой другой ОС такого случиться, к сожалению или к счастью, не могло. Смартфонов на Windows или macOS не существует. Смартфонов на Linux, которыми пользуются хотя бы полтора человека, можно пересчитать по пальцам одной руки. А на iOS такого себе в принципе нельзя представить. Нет, ну вы только подумайте: как троян мог бы пробраться на iPhone? Понятное дело, что никак. Ведь в App Store его точно не пропустят, а скачать софт из-за пределов официального магазина пользователь даже при большом желании не сможет.

Безопасность Android — вот над чем стоит задуматься

Можно ли от этого защититься пользователям Android? Бесспорно, да. Каким бы плохим ни был Google Play, лучше всё-таки скачивать софт именно оттуда, избегая альтернативных источников, тем более тех, о которых слышите в первый раз. Дело в том, что цензоры Google – такие тоже есть, правда – вряд ли допустят к публикации в официальном каталоге настолько опасное ПО. А в сторонних источниках, как правило, заниматься проверкой софта попросту некому. В результате всякий трэш распространяется именно благодаря им. Поэтому просто будьте умнее и осмотрительнее, и никакие трояны вам не грозят.

Теги
Лонгриды для вас
Лаунчер
Что такое лаунчер для Android, зачем он нужен и какой лучше выбрать

Существует отдельная категория пользователей, которые ценят Android за обширные возможности кастомизации. Я вполне допускаю, что часть из них понятия не имеет, о чём говорит, а скорее держится за кастомизацию, потому что не может объяснить окружающим, почему у них не iOS. Но, так или иначе, для некоторых возможность изменить внешний вид операционной системы действительно является большой ценностью. Ведь если на iOS максимум, что можно сделать, - это изменить рабочий стол виджетами и иконками приложений, то на Android дела с этим обстоят куда лучше.

Читать далее
Galaxy A51
Я нашёл смартфон на замену Galaxy A51 за 11 тысяч рублей

Все знают, что современные смартфоны могут быть не просто дорогими, а очень дорогими. Сегодня уже никого не удивишь флагманом за даже за 100 тысяч рублей, не говоря о менее значимых суммах. Мы уже даже не сомневаемся в том, стоит он того или нет. Нам очевидно, что, если производитель просит такую сумму за свой смартфон, значит, в его разработку вложено много сил, а сам он может похвастать широчайшим спектром функциональных возможностей. То ли дело бюджетники. Никогда не угадаешь заранее, насколько он хорош. Поэтому и к вопросу их выбора нужно подходить со всей ответственностью.

Читать далее
Российский флаг
Приложения из закона о российском софте сливают ваши данные за рубеж

Закон о российском софте, который вступил в силу 1 апреля, с самого начала заработал несколько иначе, чем рассчитывалось первоначально. Несмотря на то что законодатель не требовал от производителей устанавливать неудаляемые приложения, некоторые решили перестраховаться и лишили пользователей возможности удалить навязанный софт. Конечно, в правительстве своевременно отреагировали на претензии, дав понять, что ничего такого не требовали, но впечатление уже было подпорчено. Правда, как оказалось, это был не единственный негативный момент нового закона.

Читать далее
1 комментарий
  1. DrMeth

    Authy нормально справляется. СМС для ретробабушек .

Новый комментарий