Что не так с двухфакторной аутентификацией (2FA) на Android21.09.2020 23:03

Все знают, что у Android с безопасностью дела обстоят откровенно так себе. Не то чтобы я сам регулярно испытывал заражения, но читать о распространении очередного трояна, жертвами которого стали тысячи пользователей, мне приходится регулярно. Причём на вопрос, как же так получается, у меня есть вполне резонный ответ. Просто пользователи в большинстве своём понятия не имеют, как по внешним признакам отличить безопасное ПО от небезопасного. В результате мы имеем сотни и тысячи заражений. Спасает только двухфакторная аутентификация. Ну, по крайней мере, спасала.

Для начала предлагаю разобраться, что такое двухфакторная аутентификация, как она работает, зачем нужна и почему вообще все так на неё надеются, когда речь заходит о безопасности.

Зачем нужна двухфакторная аутентификация

Если говорить простым языком, двухфакторная аутентификация — это дополнительный шаг при авторизации в учётных записях, который завязан на устройство, теоретически постоянно находящееся при его владельце. То есть, помимо ввода учётных данных, двухфакторная аутентификация предполагает ввод одноразового кода, который отправляется либо по SMS, либо в виде пуш-уведомления после верного ввода пары логин-пароль. Ведь если украсть их злоумышленники в принципе смогут, то вот раздобыть ещё и ваш смартфон, чтобы подтвердить вход — уже вряд ли. Но, к сожалению, на Android двухфакторная аутентификация больше не так надёжна.

Исследователи компании Check Point Research, занимающиеся изучением проблем безопасности в информационных системах, обнаружили любопытный троян для Android, который сводит надёжность двухфакторной аутентификации на нет. Он работает как шпион. Проникая на устройство своей жертвы, троян тщательно прячется и начинает отслеживать факты авторизации в почтовых приложениях, социальных сетях и мессенджерах. Именно они становятся триггером для его активации. Как только пользователь запускает приложение почты или переходит по адресу почтового сервиса в браузере, троян начинает фиксацию.

Можно ли украсть код двухфакторной аутентификации

Он создаёт на устройстве бэкдор и, как только жертва вводит пару логин-пароль, троян копирует их и отправляет своим создателям. Затем дожидается, когда поступает SMS с кодом двухфакторной аутентификации, и копирует и пересылает уже его. В результате злоумышленники, создавшие троян, получают одновременно и логин с паролем, и код двухфакторной аутентификации для подтверждения авторизации. Но, что хуже всего, даже если жертва что-то почувствует и захочет заблокировать все сеансы, мошенники смогут снова пройти авторизацию, отправив SMS с кодом верификации.

Почему я так уверенно говорю про Android, если, по сути, то же самое могло случиться с любой другой ОС? Но дело в том, что с любой другой ОС такого случиться, к сожалению или к счастью, не могло. Смартфонов на Windows или macOS не существует. Смартфонов на Linux, которыми пользуются хотя бы полтора человека, можно пересчитать по пальцам одной руки. А на iOS такого себе в принципе нельзя представить. Нет, ну вы только подумайте: как троян мог бы пробраться на iPhone? Понятное дело, что никак. Ведь в App Store его точно не пропустят, а скачать софт из-за пределов официального магазина пользователь даже при большом желании не сможет.

Можно ли от этого защититься пользователям Android? Бесспорно, да. Каким бы плохим ни был Google Play, лучше всё-таки скачивать софт именно оттуда, избегая альтернативных источников, тем более тех, о которых слышите в первый раз. Дело в том, что цензоры Google — такие тоже есть, правда — вряд ли допустят к публикации в официальном каталоге настолько опасное ПО. А в сторонних источниках, как правило, заниматься проверкой софта попросту некому. В результате всякий трэш распространяется именно благодаря им. Поэтому просто будьте умнее и осмотрительнее, и никакие трояны вам не грозят.

©  Androidinsider.ru