Vi abbiamo parlato circa un mese fa del malware che infetta gli smartphone Android e che riesce ad aggirare il sistema messo a punto da Google con l’app Authenticator, che gestisce l’autenticazione a due fattori. Si tratta in particolare della falla dell’app che consente ad altre applicazioni di acquisire le schermate che mostrano i codici di accesso. La vulnerabilità era stata in realtà segnalata per la prima volta a Google nell’ottobre 2014, ma non è mai stata risolta, finora.
Il malware che attacca Google Authenticator
Il malware individuato dai ricercatori di ThreatFabric e denominato Cerberus che riesce a “rubare” i codici OTP 2FA (autenticazione a due fattori) generati dall’app Google Authenticator, secondo i ricercatori, sarebbe un ibrido tra un trojan bancario e un trojan di accesso remoto (RAT). Una volta che un utente Android è stato infettato, l’hacker, sfruttando questo tipo di funzionalità, riesce a rubare le credenziali per le app di mobile banking e i codici dell’account utente.
Nello studiare le modalità con cui Cerberus riesce a rubare i codici 2FA generati una tantum, i ricercatori di Nightwatch Cybersecurity hanno approfondito la causa principale che ha permesso questo attacco, ovvero la possibilità che l’app Authenticator consenta di effettuare uno screenshot dello schermo. Il sistema operativo Android consente alle app di proteggere i propri utenti bloccando altre app dal catturare tramite screenshot i loro contenuti, o di registrare la schermata. Questo viene fatto aggiungendo un’opzione “FLAG_SECURE” nella configurazione dell’app.
Ebbene, paradossalmente, Google non ha aggiunto questo flag all’app Authenticator, nonostante l’app gestisca contenuti piuttosto sensibili. Gli stessi ricercatori hanno anche scoperto che l’app Authenticator di Microsoft per Android presentava (e continua a presentare) la stessa configurazione errata che consente di catturare il suo schermo.
I ricercatori di Nightwatch affermano dunque che la soluzione è piuttosto semplice da implementare e che, anzi, Google avrebbe potuto risolvere questo problema già nell’ottobre 2014, quando questa errata configurazione era stata segnalata e, di nuovo, nel 2017, quando era stata ribadita.
