Google hat es bei seiner beliebten App zur Zwei-Faktor-Authentifizierung bisher versäumt, eine grundlegende Schutzfunktion zu implementieren: Von der App Google Authenticator können Screenshots erstellt werden. Das können andere Apps nutzen, um eine Aufnahme der sechs- oder achtstelligen TOTP-Codes zu erstellen und damit die Zwei-Faktor-Authentifizierung zu umgehen. Eine Schadsoftware soll das Problem bereits ausnutzen, bekannt ist es bereits sei 2014.

Android-Apps können über die Option FLAG_SECURE das Erstellen von Screenshots verhindern. Auf GitHub gibt es bereits seit 2014 und 2016 Tickets, die die Sicherheitsfunktion bei Google Authenticator anmahnen. Die Sicherheitsfirma Nightwatch meldete das Problem 2017 ein weiteres Mal und will ein Bug-Bounty dafür erhalten haben. Das Problem blieb jedoch bestehen.

2018 hatte die Sicherheitsfirma auch Microsoft auf das gleiche Problem in seiner App Microsoft Authenticator hingewiesen. In einem Kurztest in der Redaktion konnten wir sowohl bei Microsoft Authenticator als auch beim Google Authenticator Screenshots erstellen. Auch der RSI Authenticator des Spiels Star Citizen und Steam Guard der Spieleplattform Steam erlaubten das Erstellen von Screenshots. Die App and OTP hingegen nutzte die Sicherheitseinstellung und ließ keine Screenshots zu.

Laut einem Bericht des Onlinemagazins ZD-Net verwendet der Trojaner Cerberus die Screenshotfunktion, um die TOTP-Codes des Google Authenticators abzugreifen. Die Funktion befinde sich jedoch noch in der Entwicklung und würde noch nicht aktiv ausgenutzt. Demnach könnten Angreifer mit der Schadsoftware direkt auf das Smartphone der Opfer zugreifen (Remote-Access-Tool, RAT), den Google Authenticator öffnen, einen Screenshot erstellen und an den Command-and-Control-Server schicken lassen. Die Codes müssten dann zeitnah verwendet werden, da sich diese alle 30 Sekunden ändern. Je nach Server-Konfiguration akzeptieren die Server neben dem aktuellen, auch vergangene oder zukünftige Codes.

Autor des Artikels ist Moritz Tremmel.