Eine Zweifaktorauthentifizierung (2FA) verspricht eine bessere Absicherung bei einer Online-Anmeldung und gilt als 'Stein der Weisen'. Gerne kommen auch Authenticator-Apps für diesen Zweck verwendet. Gerade wird dieser Sicherheitsansatz aber erschüttert, weil sich über Authenticator-Apps die 2FA-Codes einfach abgreifen lassen. Und noch schlimmer: Google war z.B. über die Schwachstelle in der Authenticator-App seit Oktober 2014 im Bilde, ohne etwas zu unternehmen. Ähnliche gilt für Microsoft.
Anzeige
Ich hatte im Blog-Beitrag Sicherheitsinfos (1. März 2020) über die Cerberus-Malware berichtet, die mit einer RAT-Funktionalität aufgerüstet wurde. Die Malware ist nun in der Lage, den Zwei-Faktor-Authentifizierungscode (2FA) des Google Authenticator zu stehlen.
Cerberus Android Malware Can Bypass 2FA, Unlock Devices Remotely – by @sergheihttps://t.co/t6jrgCIIPW
— BleepingComputer (@BleepinComputer) February 27, 2020
Cerberus Android Malware Can Bypass 2FA, Unlock Devices Remotely – by @sergheihttps://t.co/t6jrgCIIPW
— BleepingComputer (@BleepinComputer) February 27, 2020
Die 2FA wird als zusätzliche Sicherheitsebene beim Einloggen in Online-Konten verwendet. Details zur Schwachstelle in der Google Authenticator-App finden sich bei Bleeping Computer und bei ZDnet.
Auch andere Authenticator-Apps betroffen
Bei Golem findet sich der Beitrag 2FA-Codes lassen sich einfach abgreifen, der das Ganze auf eine breitere Basis stellt. So gut wie alle Apps zur Zweifaktor-Authentifizierung (2FA), darunter der Google und der Microsoft Authenticator, haben keinen Schutz vor Screenshots implementiert.
Anzeige
Über einen Screenshot lässt sich dann der sechs- oder achtstellige TOTP-Code (Time-based One-time Password) von anderen Apps abgreifen. Jetzt ist alles in hellster Aufregung, weil so ein Fehler passieren konnte. Denn unter Android können Apps die Option zum Erstellen von Screenshots verhindern.
Schwachstelle seit 2014 bekannt
Google wurde bereits 2014 von Sicherheitsforschern auf das Problem bei der 2FA in Verbindung mit Screenshots in Android-Apps hingewiesen. Das erste Ticket auf Github stammt vom 8.7.2014, und beschreibt das Problem dediziert. Seit dieser Zeit arbeiten sich Sicherheitsforscher an diesem Thema ab und melden das auch Google oder Microsoft.
Denn auch Microsofts Authenticator-App plagt das gleiche Problem. Das Unternehmen wurde 2018 auf das Problem hingewiesen, wie man hier nachlesen kann. Microsoft hat sich aber geweigert, das als Bug anzuerkennen und einen Fix bereitzustellen. Neben Golem gibt es einen englischsprachigen Beitrag bei ZDNet zum Thema. Generell lässt sich feststellen, dass die Android 2FA-Apps wohl eher keinen Beitrag zur wirklichen Absicherung leisten – denn ein infiziertes Android-Gerät ermöglicht die TOTP-Codes abzugreifen.
Anzeige
Ist das mit den Screenshots dann nicht auch ein generelles Problem, dessen Prüfung man durchaus auch auf Passwort-Manager ausweiten sollte? Die können ja u.A. auch TOTP-Codes erstellen und sogar Passwörter verraten… ;-)
Gilt für jedes Programm, welches TOTP-Codes erstellen und anzeigen kann.
Können unter Android Programme Screenshots auslösen – ohne das der Benutzer es erfährt?
Ansonsten ist der Sinn von 2fa ja, daß man verschiedene Geräte für den Zugang (Browser) und den Code hat. Solange höchstens eines infiziert ist bleibt die Sicherheit gegeben. M.E. ist die klassische Version mit Code per SMS auf dummes Telefon ohne Internet immer noch die am wenigsten anfällige. Nutzt man Zugang und Code auf dem selben Gerät (wie es viele Banken jetzt vorschlagen) wird das nicht lange gut gehen…
Soweit ich weiß gab es bei manchen Providern Sim Karten für ein zweites Gerät (Multi Cards) ohne dass die Identität des Antragsstellers ordnungsgemäß überprüft wird.
Im Fall der fälle liest dein Angreifer einfach alle deine SMS mit ohne das jemand das Weiß.
Da war also die Entscheidung einen Hardware Authenticator für die Account Sicherheit zu kaufen vor mehreren Jahren die richtige Entscheidung.
Der Elektromarktmitarbeiter musste den dann gegen seinen willen bestellen.
Dieses Verfahren kann allerdings durch einen Man in the Middle angriff gehackt werden.
Leider gibt es nur bei wenigen Anbietern die Möglichkeit eine 2 Zweifaktorauthentifizierung mit einem Hardwaretoken zu benutzen. Meistens wird man darauf verwiesen das es nur Apps gibt.