Androidmalware steelt 2FA-codes uit sms-notificaties
Onderzoekers hebben in de Google Play Store malware ontdekt die tweefactorauthenticatiecodes weet te stelen door toegang tot notificaties te vragen. Daarmee omzeilt de malware een maatregel die Google eerder dit jaar doorvoerde. Sinds maart beperkt Android namelijk het gebruik van sms-permissies.
Hierdoor kunnen apps die inloggegevens proberen te stelen deze permissies niet gebruiken om toegang tot tweefactorauthenticatie (2FA)-codes te krijgen die via sms zijn ontvangen. De nu ontdekte malware blijkt echter in staat om zonder sms-permissies toch 2FA-codes uit sms-berichten te stelen. De gebruikte techniek werkt ook tegen 2FA-codes die via e-mail worden verkregen.
De malware vraagt namelijk toegang tot notificaties van andere apps en heeft ook de mogelijkheid om de notificaties te sluiten of op knoppen te klikken indien die aanwezig zijn. De notificatie van een sms-bericht kan bijvoorbeeld de opgevraagde 2FA-code bevatten. Door het uitlezen van de notificatie kan de malware zo de code stelen, waarmee de aanvaller toegang tot een account kan krijgen. Daarnaast kan de malware de notificatie meteen sluiten, zodat het slachtoffer niets door heeft.
De malware zat verborgen in drie malafide apps in de Google Play Store, die afkomstig leken van een Turkse cryptobeurs. Twee van de apps waren bij elkaar zo'n honderd keer gedownload voordat ze door Google werden verwijderd. De derde app werd vorige week door antivirusbedrijf ESET bij Google gerapporteerd.
Androidgebruikers krijgen het advies om alleen apps voor cryptobeurzen en financiën te vertrouwen die direct van de officiële website worden gelinkt. Tevens moeten mensen alleen apps die ze vertrouwen gebruiken en deze alleen notificatietoegang geven als er een legitieme reden is. Verder wordt aangeraden om 2FA-codes via een generator te genereren in plaats van sms of e-mail te gebruiken.
Dat lijkt mij ook inderdaad. Enige beschermingslaag is dat je malware dan meer toegang moet hebben dan alleen SMS of notificaties uitlezen (meer iets van root toegang). Dat lijkt mij een kwestie van tijd gezien de beroerde update status van Android toestellen.
Zal ik nog eens roepen dat security keys dit probleem niet hebben doordat de sleutels in een chip opgeslagen worden (niet de kopieren zijn) en een hardware matige bevestiging nodig heeft voor ze worden vrijgegeven? Zo iets kan ook voor Android (en vermoed ik dat de security key implementatie hier ook gebruik van maakt): https://android-developers.googleblog.com/2018/10/android-protected-confirmation.html
En dat illustreert meteen het probleem van Apps + Verificatie op één device. Of dat nu banking via een app is of DiGiD toegang: alles op één apparaat betekent dat het 'kraken ervan potentieel gevaar oplevert omdat daarmee toegang tot het gehele gebeuren verkregen zou kunnen worden. iets dat bij SMS check via een aparte GSM niet mogelijk is.
Tenzij de hacker in staat is het gekoppelde telefoonnummer te wijzigen of zich een SIM kaartje daarvan laat toesturen...
Dat gaat hopelijk wel enigszins meevallen:
https://en.m.wikipedia.org/wiki/Random_seed
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.