11 ting, som Android gør bedre end iPhone
En samling af små, usability-forøgende egenskaber holder mig til at komme tilbage til Android, som mit daglige valg. Her er min liste.
Læs mere: https://zd.net/2XoNa0F
Ondsindede Android-apps er blevet afsløret som er i stand til at få adgang til one-time-passwords (OTPs) med henblik på at omgå to-faktor-autentificering (2FA) sikkerhedsmekanismer.
Forskere fra ESET, sagde torsdag, at de apps, der efterlignede en cryptocurrency udveksling baseret i Tyrkiet, kendt som BtcTurk, og var til rådighed for download i Google Play.
Mobile applikationer, der søger at omgå 2FA for at kapre et offer enhed, der bruges til at spørger ofte om de tilladelser, der er nødvendige for at tage kontrol af SMS-indstillinger, som ville tillade skadelig software at aflytte 2FA koder designet til at tilføje en sekundær lag af sikkerhed til online-konti.
Tidligere dette år, Google begrænset SMS og Opkald Log tilladelser i Android til at stoppe udviklere at få adgang til disse følsomme tilladelser uden personligt at gøre deres sag foran tech gigant første.
Den undertrykkelse forårsaget kaos for nogle legitime udviklere, hvis apps var pludselig i fare for at miste nyttige funktioner. Når det kom til ondsindede apps, men den ændring i Googles politikker frataget mange af de muligheder, der findes for at misbruge SMS og Opkald Log kontrol for at omgå 2FA.
Se også: it-sikkerhed 101: at Beskytte dine personlige oplysninger fra hackere, spioner, og regeringen
I de apps, der er fundet af ESET, som bygherren er kommet op med en måde at omgå Googles ændringer.
Den første app blev uploadet til Google Play på juni 7, 2019, under udvikler og program navn “BTCTurk Pro Beta.” Den anden, som hedder “BtcTurk Pro Beta,” falder ind under den udvikler navn “BtSoft.”
Efter et af disse programmer er blevet downloadet og lanceret, software anmoder om en tilladelse kaldet Anmeldelse adgang, som giver app ‘ en mulighed for at læse meddelelser, der vises af andre programmer på enheden, for at afskedige dem, eller til at klikke på nogen af knapperne, de indeholder.
App ‘ en viser derefter en falsk login-anmodning om adgang til den tyrkiske cryptocurrency platform. Hvis legitimationsoplysninger, der er indsendt, en fejlside, der spilles, mens den konto legitimationsoplysninger, der er ført væk som angriberen command-and-control (C2) – server.
“I stedet for at opsnappe SMS-beskeder til at omgå 2FA beskyttelse på brugeres konti og transaktioner, disse ondsindede apps tage OTP fra meddelelser, der vises på den kompromitterede enhedens skærm,” ESET siger. “Udover at læse den 2FA meddelelser, apps, kan også afvise dem for at forhindre ofre fra at lægge mærke til svigagtige transaktioner, der sker.”
TechRepublic: Hvordan svigagtig domænenavne er drift phishing-angreb
Ondsindede apps har også filtre på plads, mens scanning meddelelser på låseskærmen og så kun indberetninger af interesse er rettet. Søgeord omfatter “mail”, “outlook” “sms” og “beskeder.”
Teknikken er ny og effektiv, men kun til det punkt, hvor mange oplysninger kan blive stjålet fra et meddelelsesfelt. Den OTP muligvis ikke fuldt ud vist i en mobil anmeldelse af pop-up, og mens aflytning metode teoretisk set bruges til at fange e-mail-baseret one-time passwords, besked længder varierer og så angreb vil ikke altid være en succes.
CNET: vagtselskab Cellebrite siger, at det kan låse en iPhone
Heldigvis færre end 100 brugere menes at have installeret apps, før de blev rapporteret, at Google på juni 12 og fjernet. Men som Anmeldelsen adgang tilladelse blev introduceret i Android, 4.3, sikkerhedsteamet har foreslået, at 2FA bypass teknik kan påvirke “næsten alle aktive Android-enheder.”
Tidligere og relaterede dækning
Disse ondsindede Android-apps, som vil kun ramme, når du flytter din smartphone
Skadelig livsstil apps, der findes på Google Play, 30 millioner installerer optaget
Over 58,000 Android-brugere havde stalkerware installeret på deres telefoner sidste år
Har du et tip? Komme i kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterede Emner:
Mobilitet
Sikkerhed-TV
Data Management
CXO
Datacentre