Приложения из Google Play научились обходить двухфакторную аутентификацию

Двухфакторная аутентификация, несмотря на неудобство ее прохождения, — это необходимость, которой ни в коем случае нельзя пренебрегать. Она позволяет быть уверенным, что никто не войдет в ваш аккаунт без вашего ведома, даже если вы используете не самый сложный пароль. Вот только, как выяснили исследователи антивирусной компании ESET, далеко не всегда двухфакторная аутентификация является гарантией защиты учетной записи, поскольку некоторые приложения научились легко и просто ее обходить.

Приложения, о которых идет речь, распространяются посредством Google Play, что потенциально увеличивает масштаб поражения. В основном это фальшивые приложения турецких криптобирж вроде BTCTurk, BTCTurk Beta и BTCTurk Pro Beta.

Вредоносные приложения из Google Play

После установки приложение предлагает пользователям ввести свои логин и пароль для входа на биржу. Однако, как и следовало ожидать, легитимная страница авторизации подменяется фишинговой, которая отправляет учетные данные злоумышленникам.

Поскольку с недавних пор Google запрещает приложениям сторонних разработчиков получать доступ к звонкам и SMS, а значит, фишинговые программы не в силах просто прочесть входящее сообщение с кодом авторизации, мошенники придумали другое, более хитрое решение. Они научили приложение запрашивать доступ к системе уведомлений, из которых приложение копировало уникальный код двухфакторной аутентификации и передавало его им.

Казалось бы, какое нам может быть дело до турецких мошенников, ведь в круг наших интересов точно не входят их местные криптобиржи. Но, подумайте сами, если одни смогли обойти 2FA, смогут и другие. И уж всем нам точно будет не до смеха, когда учетные данные от наших криптовалютных кошельков, адресов электронной почты и банковских счетов попадут в руки мошенников.

Bluetooth-токен для 2FA

Несмотря на легкость, с которой мошенники получали код авторизации, это отнюдь не делает двухфакторную аутентификацию бесполезной. К примеру, обмануть Bluetooth-токены аналогичным способом по-прежнему нельзя. А, учитывая, что теперь их роль могут исполнять сами смартфоны под управлением Android, которые позволяют проходить авторизацию только в пределах зоны действия беспроводного соединения, еще никогда защита учетных записей не была настолько удобной и эффективной.

Подписка на наш канал в Яндекс.Дзен открывает доступ к интересным новостям и полезным инструкциям, которых нет на сайте.

Теги
Читайте также
Как не пропускать уведомления на Android

Часто бывают ситуации, когда берешь телефон в руку и понимаешь, что на нем есть важное уведомление, которое ты ждал, но пропустил. Так бывает с мессенджерами, социальными сетями и электронной почтой. По факту с этим уже ничего не сделать, но можно заранее побеспокоиться о том, чтобы не пропускать уведомления. Дело в том, что Android старается как может и хочет уберечь нас от чрезмерного расхода аккумулятора. В итоге, часть приложений работает не так, как нам нужно, и мы получаем отсутствие уведомлений или прочей важной активности тогда, когда она нужна. С этим можно справиться. Даже не надо ничего серьезно менять в смартфоне.

Читать далее
Почему я больше не куплю смартфоны Huawei

Я не часто покупаю новые смартфоны. Например, мой прошлый аппарат на Android прослужил мне более двух лет, а со дня покупки нынешнего вот-вот стукнет год. Постоянные читатели знают, что это Honor View 20, который достался мне по трейд-ину всего за 20 тысяч рублей. Причём достался, надо сказать, довольно спонтанно. Аккумулятор его предшественника приказал долго жить и мне срочно понадобилось что-то на замену. Ухудшение отношений между Huawei и США сделало китайской компании хороший пиар, и я запрыгнул в последний вагон уходящего поезда. Жаль, что больше ездить тем же маршрутом я уже не буду.

Читать далее
Как Google Assistant помогает мне каждый день. Полезные команды

Я уже давно активно пользуюсь Google Ассистентом, а потому каждое обновление, которое расширяет его функциональные возможности, я принимаю очень близко к сердцу. Возможность вернуть деньги за ошибочно купленный софт, зачитывание вслух текста на открытых веб-страницах, голосовое управление интерфейсом в Google Chrome – всё это в своё время очень меня порадовало. Однако я прекрасно понимаю, что возвращать приложения в Google Play каждый день вам вряд ли придётся, поэтому решил составить подборку наиболее популярных вопросов, с которыми я обращаюсь к Ассистенту сам. Возможно, они окажутся полезны и вам.

Читать далее

Новый комментарий