גוגל ומיקרוסופט יודעות שנים על חולשה מטופשת באפליקציות האימות שלהן, ועכשיו יש נוזקה שיכולה להשתמש בה

האפליקציות שאמורות להגן על החשבונות שלכם נותרו חשופות במשך שנים לאחד הפיצ׳רים הבסיסיים ביותר בסמארטפון שלכם, ובקרוב זו יכולה להיות בעיה רצינית

צילום: גיקטיים

​אם אתם קוראים בגיקטיים, אנחנו די סומכים עליכם שאתם כבר מכירים ומשתמשים באמצעים חכמים בשביל להגן על החשבונות שלכם. חוץ מאימות דו שלבי עם הטלפון שלכם, אתם אולי משתמשים ב-Google Autheticator ומרגישים אפילו יותר בטוחים. אז זהו, שהתוכנה הזאת עשויה להיות פחות בטוחה ממה שחשבתם, וגוגל ככל הנראה יודעת את זה.

הנוזקה נמצאת כבר בבדיקות ראשוניות, ועשויה להשתחרר בקרוב

הקונספט של Autheticator הוא פשוט וחכם; אתם מקשרים בין החשבונות התומכים שלכם לאפליקציה שאתם מורידים לסמארטפון, ובכל פעם שאתם מנסים להיכנס לחשבון שלכם ממכשיר חדש, לא תוכלו להסתפק רק בשם משתמש והסיסמה שלכם, אלא גם בקוד רנדומלי בעל 6 ספרות שמשתנה בכל 30 שניות. כך, גם אם מישהו פיצח את הסיסמה שלכם או שהיא דלפה, יש לכם עוד שכבת הגנה אפילו יותר טובה מהודעות SMS שניתן ליירט.

חוקרים הולנדים גילו גירסה חדשה וניסיונית של סוס טרויאני בשם Cerberus, שמטרתו העיקרית היא חדירה לאפליקציות וחשבונות בנק. לטענתם, הגירסה החדשה מסוגלת לגנוב קודי אימות מאפליקציית Google Authenticator. הדרך שבה Cerberus עושה זאת, לדברי החוקרים, היא על ידי קריאת תוכן הממשק ושליחה שלו לשרת של התוקף. בפועל, מכשירים אשר נדבקים בנוזקה החדשה יחסית מאפשרים לתוקף להשתלט מרחוק על המכשיר, ממש כמו שאתם משתלטים על המחשב שלכם עם תוכנות כמו TeamViewer, מה שמכונה Remote Access Trojan, או RAT, בקיצור.

הגירסה המתקדמת הזאת של Cerberus נמצאת, על פי הערכת החוקרים, בבדיקות, וסביר להניח כי היא תיכנס לפעילות כבר בתקופה הקרובה.

מעכשיו גיקטיים גם בטלגרם מעכשיו גיקטיים גם בטלגרם להצטרפות לערוץ הטלגרם שלנו לחץ כאן

מחקר נוסף: גוגל יודעת על החולשה הזאת, ולא עושה דבר

כאמור, הסוס הטרויאני מאפשר לתוקף להשתלט על המכשיר של המשתמש מרחוק, ומשם התוקף נכנס בעצמו לאפליקציית Authenticator, ופשוט מבצע צילום מסך ושולח אותו לעצמו. כך, ביכולתו להניח את ידיו על הקוד הייחודי באפליקציה. הכלי עצמו מתוחכם, אבל השיטה לחילוץ הקודים היא בסיסית למדי. במקביל לתגלית הזאת, חוקרים מחברת Nightwatch גילו מידע מטריד לא פחות כאשר הם שאלו את השאלה הפשוטה: ״למה Authenticator מאפשרת בכלל צילומי מסך?״.

מפתחי אנדרואיד יודעים שכל מה שצריך לעשות כדי למנוע צילומי מסך בתוך האפליקציה, הוא להוסיף את אפשרות ״FLAG_SECURE״ לקונפיגורציית האפליקציה. כבר בשנת 2014, משתמש בגיטהאב הפנה את תשומת ליבם של מפתחים בגוגל לבעיה הזאת כשהוא חיטט בקוד הפתוח של האפליקציה, וטען כי אפליקציות רגישות מנטרלות את אפשרות צילומי המסך כדי למנוע מסוסים טרויאנים להשתמש בהם למטרות תקיפה.

גם מיקרוסופט מודעת לבעיה

ב-2017, Nightwatch דיווחה בעצמה על הבעיה הזאת לגוגל, ולטענתה לא קיבלה מעולם תגובה, וגם בגירסה העדכנית ביותר של Authenticator, עדיין ניתן לצלם את המסך. כלומר, ברגע שסרברוס יצא משלבי הבדיקה ויהפוך לכלי תקיפה חופשי, הוא מסכן את משתמשי האפליקציה של גוגל ומכאן גם את החשבונות האחרים המקושרים לאפליקציה.

אם חשבתם שרק האפליקציה של גוגל היא בעייתית, כדאי שתדעו שגם אפליקציית Authenticator של מיקרוסופט מאפשרת צילום מסך, וגם היא טרם טיפלה בבעיה הזאת שנחשפה לפני שנים. למען האמת, החוקרים טוענים כי מיקרוסופט החזירה להם תשובה וכתבה כי: ״הצוות שלנו בחן את הנושא, ונראה שהוא לא עונה על הרף שלנו לטיפול. יידענו את צוות הפרודאקט על הנושא. אנו סוגרים את הבקשה״.

בינתיים, אם אתם לא רוצים לחכות שגוגל או מיקרוסופט יואילו בטובן להוסיף את האפשרות הקטנה הזאת שתחסום את החולשה, ניתן לעבור לאפליקציות אימות אחרות כמו אלו של LastPass או 1Password, או טוב מכך, לעבור למפתחות אבטחה פיזיים.

לקריאה נוספת:

4 מנהלי סיסמאות שאתם צריכים לבדוק

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

20 תגובות על "גוגל ומיקרוסופט יודעות שנים על חולשה מטופשת באפליקציות האימות שלהן, ועכשיו יש נוזקה שיכולה להשתמש בה"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
מרקו
Guest

ומה עושים כשהשירות בכלל לא מאפשר אימות דו-שלבי?
(מי אמר @בנקהפועלים ולא קיבל??)

בצל כחול
Guest

בכללי האותנטיקציה של הבנקים ברמת אבטחה מאוד נמוכה!! מאפשרים סיסמה רק עד 14 תווים (באמת?? עולה לכם כסף לתמוך ביותר תווים בשדה הסיסמה?) ויותר גרוע, הם לא מאפשרים קופי פייסט בשדה של הסיסמה. זה אומר שמי שיש לו את הסיסמאות הכי מאובטחות (סטרינג רנדומלי של תווים ששמור במערכת סיסמאות) לא יכול להתשמש בה כי חייב להקליד את הסיסמה. נו באמת….

איתמר
Guest
בדיוק בגלל התלונה השנייה שלך קיימת התלונה הראשונה. הרי מבחינת מניעה של ברוט פורס, 14 תווים זה בהחלט מספיק גם בלי קשר להגנות הנוספות שמונעות ממך לבצע יותר ממספר מסוים של נסיונות כניסה בזמן קצר. אז לאפשר סיסמה ארוכה יותר, ובהתחשב בכך שמדובר באפליקציה שדורשת אימות בכל כניסה ומספר הכניסות גבוה, רק מסרבלת את התהליך ואנשים כל הזמן שוכחים את הסיסמה ומבקשים שחזור. אם היית משתמש בסיסמה רנדומלית, זה אומר שהם צריכים להתממשק עם שירות כלשהו של שמירת ססמאות שיזכור עבורך את הסיסמה, מה שמוריד את רמת ההגנה. לכן יש פה טרייד אוף מסוים, והחליטו על נקודת אמצע כלשהי של… Read more »
בצל כחול
Guest
הם לא צריכים להתממשק מול אף מערכת ניהול סיסמאות. זה אני עושה. אני שולף את הסיסמה מתי שבא לי ומדביק בשדה הסיסמה. בזמן שאני מעתיק את הסיסמה היא נמצאת בCLIPBOARD של הטלפון/מחשב לכמה שניות ואז נעלמת (המערכת מנקה את הCLIPBOARD אחרי X שניות). בנוסף, מערכות מודרניות יודעות למנוע מהמידע ששמור בCLIPBOARD לדלוף ויודעות גם להגן מפני האזנה של קילוגרים. דבר שני, אין צורך לחייב אנשים לשים סיסמאות של 20 תווים. אבל אם אני רוצה, מה אכפת לכם לתת לי את האופציה? במקום לאפשר אורך סיסמה של בין 8 ל14 תווים, תשימו בין 8 ל 20 תווים. עולה כסף? זה מכביד… Read more »
איתמר
Guest

מנהלי סיסמאות רבים הוכיחו את עצמם כפגיעים, כשמדובר בביטוח של הכסף שלך הבנקים מעדיפים ללכת על הצד השמרני ולמנוע את זה ממך. אני מסכים שזה לאו-דווקא אומר שזה באמת פחות בטוח, זה יותר עניין של אסכולות ועניין של מה אתה מאבטח.

אתה כניראה שייך לאסוכלת Let them paste passwords :)

מישהו
Guest

אתה באמת חושב שהם חשבו על הקונספט של מנהלי סיסמאות והחליטו למנוע מהשיקולים שהזכרת? ממש לא. הם פשוט שמרנים מפגרים שלא משנים שום דבר עד שהם לא מוכרחים. מנהל סיסמאות יכול להיות פגיע, זה פחות אסון כי זה מאפשר להשתמש בסיסמאות שונות ורנדומליות לכל שירות, מאשר דליפה של הסיסמה הבודדת שאדם זוכר ומשתמש בה לעוד שירותים.

בצל כחול
Guest

הוא נגיד שלפי השיטה שלהם Aa123456 זאת סיסמה מאובטחת כי זה אות גדולה אות קטנה ומספר.
אבל נו באמת…..

איתמר
Guest

באבטחת מידע מנסים כמה שיותר להיות idiot-proof, אבל יש גבול לאיפה שאפשר להגיע מבלי לסבך את התהליך מדי.

Ben
Guest

אני משתמש כבר שנים ב-Authy יש גם גיבוי בענן לאתרים (במידה ונאבד/נגנב הטלפון)
וניסיתי עכשיו, ואין אפשרות של צילום מסך.
תודה על הכתבה!

דג ברשת
Guest

ידידי-צילום המסך והעברתו החוצ הנעשים ללא ידיעתך. וכמובן ללא רשות.
מה שאתה לא יכול לעשות ידנית – תוכנה ברקע עושה בקלי קלות.

ה-אור אדום בכתבה הוא ההתעלמות של גוגל ומיקרוסופט מהתראות שקיבלו.
אם תקרא – תראה שפתרון הוא קלי קלות. רק צריך לרצות לעשות אותו- וכנראה אין לחברות רצון כזה וסיבותיהן עימן.

gal
Guest

לא יודע באיזה מכשיר ניסית
יש לי פוקופון ועכשיו עשיתי צילום מסך באמצעות הכלי המובנה במכשיר..
אז צילום מסך כנראה שכן אפשר לעשות

צחי
Guest

יש בעסקי של פועלים

מרקו
Guest

אבל מה עם הלקוחת הפרטיים? להם לא מגיע?

נועם
Guest

ה issue אליו אתם מפנים הוא בפורק של האפליקציה…
זה לא הקוד העדכני של האפליקציה שמופיעה בחנות.. האפליקציה הנ”ל היא לא קוד פתוח

avi12
Member

הבעיה היא ש-LastPass בעצמה מאפשרת 2FA מ-Google Authenticator
אם כי, ספציפית החברה הזו נותנת עוד אפשרויות ל-2FA

אנדרואיד פח
Guest

לא רלוונטי ל-iOS

עמית
Guest

אפשר גם בiOS בדקתי עכשיו

בצל כחול
Guest

האם יש מידע אם זה קורה גם בIOS או רק באנדרואיד?

אילן
Guest

לאפליקציה של מייקרוסופט יש אפשרות של נעילה, שצריך קוד כדי להכנס לאפליקציה, גם כשמחזירים את האפליקציה מהרקע.
ברגע שמעבירים את האפליקציה לרקע היא ננעלת ולא רואים את הקודים.

gal
Guest

גם לאפליקציה של מיקרוסופט אפשר לעשות צילום מסך.
עכשיו עשיתי עם הכלי המובנה בפוקופון שלי.

wpDiscuz

תגיות לכתבה: