Daarom is het zo belangrijk om het magikeyboard van KeepassDX te gebruiken. (Gebruikt geen clipboard, maar een ingebouwde dictionary met uw wachtwoorden, en de tekst is nooit zichtbaar bij het overzetten, ook niet binnenin KeepassDX)
Bij het aanmaken van een wachtwoord binnenin Keepass verbied de app screenshots.

Hoe de aanval nou precies werkt doorzie ik niet, en de links die ik naar de eigenlijke paper vind laten alleen een blanco pagina zien, met ook een lege view source, dus daar gaat kennelijk op dit moment wat mis.

Volgens pixnapping.com, waar het artikel naar linkt, forceert de aanval grafische operaties op de pixels die ze willen bemachtigen via semi-transparante "activities" die via "Android intents" over de weergave van de app heen worden gelegd, waarbij een blur-operatie (vervaging) zorgt dat er grafische operaties plaatsvinden waar ze kennelijk iets uit kunnen afleiden.

Hoe dat nou precies gaat is me niet duidelijk, maar wat ik nogal bizar vind is dat over de weergave van een kritische functie als een 2FA-app kennelijk een andere app wat dan ook heen kan leggen. Ik zou verwachten dat zo'n app een soort "mijn display mag echt helemaal niet gemanipuleerd worden"-attribuut heeft dat dat soort ongein volledig blokkeert.

Niet dat desktopbesturingssystemen wel dat soort mogelijkheden hebben, maar aparte hardwaretokens voor 2FA worden steeds meer vervangen door apps op smartphones, dus juist daar zijn dat soort mogelijkheden essentieel. 2FA is bepaald niet nieuw, en het gebruik van smartphones ervoor ook niet, dus waarom is niet al jaren geleden geregeld dat dit probleemloos kan?

Zo moeilijk is het niet. «Goh, we hebben API's waarmee de ene app iets over de display van een andere app heen kan leggen, en bijvoorbeeld de tijd die het renderen van de transparante en geblurde weergave kost hangt af van wat eronder staat. Ik weet niet of ik het zelf voor elkaar kan krijgen, maar als die afhankelijkheid er is dan is dat dus iets waar een aanvaller potentieel misbruik van kan maken.» Die gedachtegang zou genoeg moeten zijn om te regelen dat geblokkeerd kan worden dat bij kritische functies een andere app er iets overheen kan leggen.

(Toevoeging net voor ik de reactie wil submitten: de paper is inmiddels wel toegankelijk en het lijkt vluchtig bekeken inderdaad met timing van operaties te werken.)

Natuurlijk is het zo dat maar net iemand op die gedachte moet komen. Alleen heb ik op plekken gewerkt waar één goede medewerker die de neiging had om op die manier door te denken over wat er mogelijk was al kwetsbaarheden voor wist te zijn waar ik pas geruime tijd later later voor het eerst op het internet een naam en beschrijving voor tegenkwam. Wat maakt dan dat een tech-reus die er prat op gaat echt ladingen en ladingen van dat soort toppers in dienst te hebben dit niet al jaren geleden wist voor te zijn? Scheppen ze teveel op over hoe goed die mensen werkelijk zijn? Hebben ze die brainpower wel maar gebruiken ze die niet goed? Hebben ze daar tegenwoordig misschien de spreekwoordelijke MBA-managers rondlopen die zelf alleen verstand van management hebben en geen bal snappen van de materie, en daardoor voorzorgsmaatregelen die hun medewerkers voorstellen blokkeren tot de praktijk heeft uitgewezen dat ze echt nodig zijn, terwijl dat dus prima te voorzien en te voorkomen was? Is marketing misschien zo machtig geworden dat alleen de features die zichtbaar zijn en verkopen prioriteit krijgen? Is er iets anders in de organisatie dat dit soort denkwerk niet stimuleert maar juist afremt of zelfs afstraft?

Ik weet niet hoe dat allemaal zit, maar ik verbaas me er wel over dat men dit soort dingen niet voor weet te zijn. Something is rotten in the state of big tech.