グーグル認証アプリに2段階認証コード盗難の不具合

グーグル公式認証アプリが、2段階認証コードを盗まれる脆弱性を持っていたと判明。
この脆弱性はCerberusと呼ばれるトロイの木馬の一種によるもの。
攻撃方法は、グーグル認証アプリが保護しているアプリを検出し、
攻撃者がそのアプリを遠隔起動して、認証アプリで2段階認証コードを取得。
コードが表示されている画面のスクリーンショットを撮って、攻撃者に送信しているとのこと。
そして、攻撃者は標的のアカウントにアクセスします。

Androidアプリはスクリーンショットを撮影不可にする「FLAG_SECURE」という設定が可能ですが、
グーグル認証アプリはこの設定を追加してないので、スクリーンショットが撮影可能だったそうです。

この問題は2014年10月に既にGitHub上で指摘されていたとのこと。
6年経ってるのに、何の対策もしなかったんですね……。

グーグルの認証アプリ「Authenticator」、ワンタイムパスワードが盗まれるおそれ

コメントは受け付けていません。