Folosit pentru a dubla securitatea parolelor convenţionale generând coduri unice de acces pe dispozitivele utilizatorilor, sistemul Google Authenticator este vizat de un malware care poate intercepta codurile generate şi forţa accesul în conturile protejate.
Fără îndoială, sistemul de autentificare în doi paşi (2FA) este o soluţie mult mai sigură decât folosirea unei simple parole statice, codurile generate pe dispozitivul aflat în posesia utilizatorului fiind mult mai dificil de interceptat, dar nu imposibil.
Adaptată pentru platforma Android, o nouă variantă a malware-ului Cerberus poate intercepta codurile Google Authenticator pe măsură ce sunt generate, profitând de o vulnerabilitate a unei permisiuni Android intenţionată pentru aplicaţii de accesibilitate. Odată acordată de un utilizator neatent, permisiunea respectivă permite accesarea interfeţei Android în timp ce Authenticator rulează, codurile interceptate fiind trimise în timp real către un server de comandă şi control. Mai departe, hackerii sau un alt software specializat au la dispoziţie câteva zeci de secunde pentru accesarea conturilor de utilizator la care parola statică este deja cunoscută, folosind codurile 2FA încă valabile.
Putând opera dintr-o locaţie aflată la distanţă, fără acces fizic la dispozitiv, atacatorii evită exact tipul de securitate promis de serviciul Google Authenticator.
Foarte răspândit pe Android, malware-ul Cerberus operează în primul rând ca şi troian bancar, dar poate fi adaptat şi pentru a forţa accesul în alte conturi de utilizator.
În noua formă, Cerberus intră în rândul puţinelor iteraţii de malware care au reuşit să depăşească sistemele de autentificare cu mai mulţi factori.
Unul dintre atuurile pentru folosirea Google Authenticator este tocmai faptul că aplicaţia nu transmite nicăieri codurile afişate pe ecran, sistemul fiind teoretic mai sigur decât metodele standard de autentificare bazate pe recepţionarea codului 2FA într-un mesaj SMS.
Capacitatea de a ocoli acest nivel de securitate face din Cerberus un malware deosebit de periculos. Identificat pe baza unor surse din comunitatea de hacking, noua versiune Cerberus nu pare să fie propagată la scară largă şi nici disponibilă pe forumurile de profil, însă asta sugerează mai degrabă că autorii nu au depăşit faza de testare, sau că au o agentă proprie pentru folosirea sa.
Este de aşteptat ca Google să vină în scurt timp cu un remediu împotriva acestuia, compromiterea Google Authenticator pornind până la urmă de la o vulnerabilitate Android.
Probabil că soluţia implică modificări asupra sistemului de permisiuni Android, care să prevină tipul de abuz folosit de Cerberus. Problema este că actualizările de firmware trebuie să treacă pe la producătorii OEM, putând dura luni bune pentru ca măcar dispozitivele Android de generaţie recentă să fie actualizate, lăsând timp suficient pentru comiterea de atacuri.