{"id":229272,"date":"2020-03-11T00:47:00","date_gmt":"2020-03-10T23:47:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=229272"},"modified":"2020-03-10T15:13:50","modified_gmt":"2020-03-10T14:13:50","slug":"schwachstelle-2fa-durch-authenticator-apps-gefhrdet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/03\/11\/schwachstelle-2fa-durch-authenticator-apps-gefhrdet\/","title":{"rendered":"Schwachstelle: 2FA durch Authenticator-Apps gef&auml;hrdet"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Eine Zweifaktorauthentifizierung (2FA) verspricht eine bessere Absicherung bei einer Online-Anmeldung und gilt als 'Stein der Weisen'. Gerne kommen auch Authenticator-Apps f\u00fcr diesen Zweck verwendet. Gerade wird dieser Sicherheitsansatz aber ersch\u00fcttert, weil sich \u00fcber Authenticator-Apps die 2FA-Codes einfach abgreifen lassen. Und noch schlimmer: Google war z.B. \u00fcber die Schwachstelle in der Authenticator-App seit Oktober 2014 im Bilde, ohne etwas zu unternehmen. \u00c4hnliche gilt f\u00fcr Microsoft.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg02.met.vgwort.de\/na\/e38212c6507c421798ffc1f4fd156901\" width=\"1\" height=\"1\"\/>Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/03\/01\/sicherheitsinfos-1-mrz-2020\/\" target=\"_blank\" rel=\"noopener noreferrer\">Sicherheitsinfos (1. M\u00e4rz 2020)<\/a> \u00fcber die Cerberus-Malware berichtet, die mit einer RAT-Funktionalit\u00e4t aufger\u00fcstet wurde. Die Malware ist nun in der Lage, den Zwei-Faktor-Authentifizierungscode (2FA) des Google Authenticator zu stehlen. <\/p>\n<h4>\n<blockquote class=\"twitter-tweet\">\n<p>Cerberus Android Malware Can Bypass 2FA, Unlock Devices Remotely &#8211; by <a href=\"https:\/\/twitter.com\/serghei?ref_src=twsrc%5Etfw\">@serghei<\/a><a href=\"https:\/\/t.co\/t6jrgCIIPW\">https:\/\/t.co\/t6jrgCIIPW<\/a><\/p>\n<p>\u2014 BleepingComputer (@BleepinComputer) <a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1233066645142282246?ref_src=twsrc%5Etfw\">February 27, 2020<\/a><\/p>\n<\/blockquote>\n<\/h4>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Die 2FA wird als zus\u00e4tzliche Sicherheitsebene beim Einloggen in Online-Konten verwendet. Details zur Schwachstelle in der Google Authenticator-App finden sich bei <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/cerberus-android-malware-can-bypass-2fa-unlock-devices-remotely\/\">Bleeping Computer<\/a> und bei <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/cerberus-android-malware-can-bypass-2fa-unlock-devices-remotely\/\">ZDnet<\/a>.<\/p>\n<h2>Auch andere Authenticator-Apps betroffen<\/h2>\n<p>Bei Golem findet sich der Beitrag <a href=\"https:\/\/www.golem.de\/news\/google-authenticator-2fa-codes-lassen-sich-einfach-abgreifen-2003-147119.html\" target=\"_blank\" rel=\"noopener noreferrer\">2FA-Codes lassen sich einfach abgreifen<\/a>, der das Ganze auf eine breitere Basis stellt. So gut wie alle Apps zur Zweifaktor-Authentifizierung (2FA), darunter der Google und der Microsoft Authenticator, haben keinen Schutz vor Screenshots implementiert. <\/p>\n<p>\u00dcber einen Screenshot l\u00e4sst sich dann der sechs- oder achtstellige TOTP-Code (<a href=\"https:\/\/de.wikipedia.org\/wiki\/Time-based_One-time_Password_Algorithmus\" target=\"_blank\" rel=\"noopener noreferrer\">Time-based One-time Password<\/a>) von anderen Apps abgreifen. Jetzt ist alles in hellster Aufregung, weil so ein Fehler passieren konnte. Denn unter Android k\u00f6nnen Apps die Option zum Erstellen von Screenshots verhindern. <\/p>\n<h2>Schwachstelle seit 2014 bekannt<\/h2>\n<p>Google wurde bereits 2014 von Sicherheitsforschern auf das Problem bei der 2FA in Verbindung mit Screenshots in Android-Apps hingewiesen. Das <a href=\"https:\/\/github.com\/google\/google-authenticator\/issues\/401\" target=\"_blank\" rel=\"noopener noreferrer\">erste Ticket<\/a> auf Github stammt vom 8.7.2014, und beschreibt das Problem dediziert. Seit dieser Zeit arbeiten sich Sicherheitsforscher an diesem Thema ab und melden das auch Google oder Microsoft. <\/p>\n<p>Denn auch Microsofts Authenticator-App plagt das gleiche Problem. Das Unternehmen wurde 2018 auf das Problem hingewiesen, wie man <a href=\"https:\/\/wwws.nightwatchcybersecurity.com\/2018\/09\/05\/microsoft-authenticator-for-android-allows-screen-capture\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> nachlesen kann. Microsoft hat sich aber geweigert, das als Bug anzuerkennen und einen Fix bereitzustellen. Neben <a href=\"https:\/\/www.golem.de\/news\/google-authenticator-2fa-codes-lassen-sich-einfach-abgreifen-2003-147119.html\" target=\"_blank\" rel=\"noopener noreferrer\">Golem<\/a> gibt es einen <a href=\"https:\/\/www.zdnet.com\/article\/google-could-have-fixed-2fa-code-stealing-flaw-in-authenticator-app-years-ago\/\" target=\"_blank\" rel=\"noopener noreferrer\">englischsprachigen Beitrag bei ZDNet<\/a> zum Thema. Generell l\u00e4sst sich feststellen, dass die Android 2FA-Apps wohl eher keinen Beitrag zur wirklichen Absicherung leisten \u2013 denn ein infiziertes Android-Ger\u00e4t erm\u00f6glicht die TOTP-Codes abzugreifen. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Eine Zweifaktorauthentifizierung (2FA) verspricht eine bessere Absicherung bei einer Online-Anmeldung und gilt als 'Stein der Weisen'. Gerne kommen auch Authenticator-Apps f\u00fcr diesen Zweck verwendet. Gerade wird dieser Sicherheitsansatz aber ersch\u00fcttert, weil sich \u00fcber Authenticator-Apps die 2FA-Codes einfach abgreifen lassen. Und &hellip; <a href=\"https:\/\/borncity.com\/blog\/2020\/03\/11\/schwachstelle-2fa-durch-authenticator-apps-gefhrdet\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-229272","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229272","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=229272"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229272\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=229272"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=229272"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=229272"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}