Új trükkel nyúlhatják le az egyszer használatos jelszavainkat

Biztonsági kutatók olyan androidos alkalmazásokat fedeztek fel, amelyek eddig nem látott technikával játsszák ki az SMS-alapú kétfaktoros azonosítást.
 

Az ESET biztonsági szakértői által felfedezett "BTCTurk Pro Beta", "BtcTurk Pro Beta" és "BTCTURK PRO" elnevezésű programok egy török kriptovaluta kereskedő, a BtcTurk alkalmazásának adják ki magukat. A kétfaktoros azonosításhoz szükséges, egyszer használatos kódokat tartalmazó SMS-üzenetek kémlelése helyett ezek az alkalmazások a jelszavakat az eszköz képernyőjén megjelenő hamis figyelmeztetések révén zsebelik be. Mindhárom alkalmazás 2019 júniusában jelent meg a Google Play áruházban, azonban a biztonsági cég figyelmeztetése után a Google eltávolította azokat. 


Forrás: ESET

Sajnos lehet, hogy csak idő kérdése, hogy újabb példányok válnak elérhetővé a Play áruházban, ezért érdemes tisztában lenni a csalók legújabb trükkjével.

Hogyan működik a támadás?

Miután a hamis BtcTurk alkalmazások telepítése megtörténik, engedélyt kérnek az értesítésekhez való hozzáféréshez. Ezután már tudják olvasni a készüléken a többi alkalmazás értesítéseit, sőt törölhetik is azokat. Ha pedig kattintható gomb is van az értesítésben, akkor a felhasználó beavatkozása nélkül észrevétlenül jóvá is hagyhatják a tranzakciókat. 

"A Google 2019 márciusától bevezetett korlátozásainak egyik pozitív hatása az volt, hogy a hitelesítő adatokat ellopó alkalmazások többé nem tudtak visszaélni az SMS-alapú kétfaktoros azonosítási mechanizmusokkal. Azonban ezeknek a hamis alkalmazásoknak a felfedezésével láthatjuk az első olyan kártevőket, amelyek képesek megkerülni ezt a korlátozást"

- mondta az ESET kutatója, Lukáš Štefanko. 

Szerencsére ennek a technikának is megvannak a határai: a támadók "csak" az értesítés terjedelmének megfelelő szöveghez férnek hozzá, így nem garantált, hogy ez a rész tartalmazza az egyszer használatos jelszavakat. Sajnos azonban az ilyen üzenetek általában rövidek, ezért az egyszer használatos jelszavak gyakran beleférnek ebbe a terjedelembe. 

Mit tehetünk?
  • Csak akkor bízzunk meg a kriptovalutás és más pénzügyi alkalmazásokban, ha a szolgáltatás hivatalos webhelyén lévő link vezet a Google Play áruházba.
  • Csak akkor adjuk meg személyes adatainkat az online űrlapokon, ha biztosak vagyunk abban, hogy azok biztonságosak és hivatalosak.
  • Folyamatosan frissítsük készülékeinken.
  • Használjunk megbízható mobilbiztonsági megoldást a fenyegetések blokkolásához és eltávolításához. 
  • Csak olyan alkalmazásokat használjunk, amelyeket megbízhatónak ítélünk, és még ezek esetében is csak azoknál engedélyezzük az értesítésekhez való hozzáférést, amelyeknek alapos oka van ezt kérni.
 
  1. 3

    A Podman egy közepes veszélyességű hiba miatt tehet kiszolgáltatottá szenzitív adatokat.

  2. 4

    A ModSecurity kapcsán két sérülékenységre derült fény.

  3. 3

    Az Asterisk fejlesztői húsz biztonsági rést foltoztak be.

  4. 4

    A Vim kapcsán újabb két sebezhetőségre derült fény.

  5. 3

    A Red Hat OpenShift Container Platform új verziója két biztonsági hibát orvosol.

  6. 3

    A Graylog kapcsán két sebezhetőség megszüntetésére nyílt lehetőség.

  7. 3

    A PyPDF újabb biztonsági frissítést kapott.

  8. 3

    A Squid két biztonsági hibát tartalmaz.

  9. 3

    Egy tucat biztonsági javítás érkezett a TYPO3-hoz.

  10. 4

    Az IBM számos biztonsági javítást adott ki a Db2-höz.

Partnerhírek
Nagy kockázat a cégeknek, ha a dolgozók AI-t használnak

Egyre komolyabb, ám gyakran még láthatatlan kockázatot jelent a vállalatok számára az úgynevezett „shadow AI”, vagyis az alkalmazottak mesterséges intelligencia használata cégen belül.

Chatbotok és szelfik: így formálja a digitális világ a gyerekek biztonságát

Gyermeknap közeledtével érdemes arra is gondolni, milyen digitális környezetben nőnek fel ma a gyerekek és ebben milyen szerepet játszanak az egyre népszerűbb AI chatbotok.

hirdetés
Közösség