News

Google Authenticator: 2FA-Codes lassen sich einfach abgreifen

(Foto: Oliver Nickel/Golem.de)

Lesezeit: 1 Min. Gerade keine Zeit? Jetzt speichern und später lesen

Google Authenticator, Microsoft Authenticator und etliche andere Apps zur Zwei-Faktor-Authentifizierung haben keinen Schutz vor Screenshots eingerichtet. Eine Schadsoftware soll dies bereits ausnutzen.

Google hat es bei seiner beliebten App zur Zwei-Faktor-Authentifizierung bisher versäumt, eine grundlegende Schutzfunktion zu implementieren: Von der App Google Authenticator können Screenshots erstellt werden. Das können andere Apps nutzen, um eine Aufnahme der sechs- oder achtstelligen TOTP-Codes zu erstellen und damit die Zwei-Faktor-Authentifizierung zu umgehen. Eine Schadsoftware soll das Problem bereits ausnutzen, bekannt ist es bereits sei 2014.

Android-Apps können über die Option FLAG_SECURE das Erstellen von Screenshots verhindern. Auf GitHub gibt es bereits seit 2014 und 2016 Tickets, die die Sicherheitsfunktion bei Google Authenticator anmahnen. Die Sicherheitsfirma Nightwatch meldete das Problem 2017 ein weiteres Mal und will ein Bug-Bounty dafür erhalten haben. Das Problem blieb jedoch bestehen.

Microsoft Authenticator hat das gleiche Problem

2018 hatte die Sicherheitsfirma auch Microsoft auf das gleiche Problem in seiner App Microsoft Authenticator hingewiesen. In einem Kurztest in der Redaktion konnten wir sowohl bei Microsoft Authenticator als auch beim Google Authenticator Screenshots erstellen. Auch der RSI Authenticator des Spiels Star Citizen und Steam Guard der Spieleplattform Steam erlaubten das Erstellen von Screenshots. Die App and OTP hingegen nutzte die Sicherheitseinstellung und ließ keine Screenshots zu.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Laut einem Bericht des Onlinemagazins ZD-Net verwendet der Trojaner Cerberus die Screenshotfunktion, um die TOTP-Codes des Google Authenticators abzugreifen. Die Funktion befinde sich jedoch noch in der Entwicklung und würde noch nicht aktiv ausgenutzt. Demnach könnten Angreifer mit der Schadsoftware direkt auf das Smartphone der Opfer zugreifen (Remote-Access-Tool, RAT), den Google Authenticator öffnen, einen Screenshot erstellen und an den Command-and-Control-Server schicken lassen. Die Codes müssten dann zeitnah verwendet werden, da sich diese alle 30 Sekunden ändern. Je nach Server-Konfiguration akzeptieren die Server neben dem aktuellen, auch vergangene oder zukünftige Codes.

Autor des Artikels ist Moritz Tremmel.

Das könnte dich auch interessieren

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Ein Kommentar
Mathul
Mathul

Stand Nov 2020: Ich kann bei der Google Authenticator App KEINEN Screenshot machen. Anscheinend wurde das Problem behoben.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Digitales High Five
Holger Schellkopf (Chefredakteur t3n)

Anleitung zur Deaktivierung