כ' חשון התשפ"ה
21.11.2024

סכנה: כך עשויים לגנוב לכם סיסמאות קריטיות

אפליקציות מזויפות משתמשות בשיטה חדשה של עקיפת האימות הדו שלבי ומדיניות ההרשאות של Google

סכנה: כך עשויים לגנוב לכם סיסמאות קריטיות
האפליקציות המזויפות BtcTurk ב-Google Play צילום: צילום מסך

חוקרי אבטחת מידע גילו אפליקציות מזויפות המשתמשות בטכניקות חדשות על מנת לפרוץ את האימות הדו שלבי (2FA) באמצעות SMS.

במרץ 2019, Google הגבילה את השימוש בהרשאות של SMS ושיחות קוליות באפליקציות אנדרואיד במטרה למנוע מאפליקציות פולשניות להשתמש בהן למטרות לא חוקיות.

האפליקציות “BTCTurk Pro Beta“, “BtcTurk Pro Beta“ ו- “BTCTURK PRO” מתחזות לאפליקציית חילופי המטבעות הטורקית BtcTurk וגונבות פרטי התחברות לשירות.

לאחר שהאפליקציות המזויפות מותקנות ומופעלות, הן מבקשות הרשאת גישה להודעות. האפליקציה יכולה לקרוא את ההודעות המוצגות של אפליקציות אחרות המותקנות במכשיר, לבטל אותן או ללחוץ על לחצנים שקשורים בהן. במקום ליירט הודעות SMS כדי לעקוף את הגנת האימות הדו שלבי בחשבונות ועסקאות המשתמשים, האפליקציות הזדוניות לוקחות את הסיסמה החד-פעמית (OTP) מההודעות המופיעות בתצוגת המכשיר שבסיכון.

מלבד היכולת לקרוא את הודעת האימות הדו שלבית, היישומים יכולים גם למחוק אותן במטרה למנוע מהקורבן לשים לב לעסקאות המזויפות שמבוצעות. כל שלוש האפליקציות הועלו ל- Google Play ביוני 2019 והורדו במהירות בעקבות הודעת ESET.

לוקאש סטפנקו מהחוקרים של ESET מציין כי "אחת ההשפעות החיוביות של ההגבלות של Google ממרץ 2019 היתה שאפליקציות לגניבת אישורים איבדו את האפשרות לנצל לרעה את ההרשאות האלו לעקיפת מנגנוני האימות הדו שלבי המבוססים על מסרונים. עם זאת, עם הגילוי של האפליקציות המזויפות הללו, יש כאן חשיפה ראשונה של תוכנה זדונית שעוקפת את ההגבלה הזו".

הרשאת הגישה להודעה הונהגה בגרסה 4.3 של אנדרואיד, כלומר כמעט כל המכשירים רגישים לטכניקה זו. האפליקציות המזויפות דורשות גרסה 5.0 בכדי לפעול ולכן יכולות לפגוע בכ-90% מהמכשירים.

כיצד מתגוננים?

  • כשמדובר באפליקציות הנוגעות למטבעות דיגיטליים או באפליקציות פיננסים אחרות, סמכו רק על אפליקציות אליהן הגעתם מקישור באתר האינטרנט הרשמי של השירות.
  • הזינו את המידע הרגיש שלכם בטפסים אינטרנטיים רק אם אתם בטוחים בכך שהם מאובטחים ולגיטימיים
  • עדכנו את מערכת ההפעלה של המכשיר שלכם.
  • השתמשו בפתרון אבטחה אמין לסמארטפון כדי לחסום ולהסיר איומים.
  • השתמשו רק באפליקציות אמינות, וגם אז, אשרו הרשאת גישה להודעות רק לאפליקציות שיש להם סיבה לגיטימית לבקש זאת.
אבטחת מידע גוגל פליי אפליקציות זדוניות Google

art

'בחדרי' גם ברשתות החברתיות - הצטרפו!

הוספת תגובה

לכתבה זו טרם התפרסמו תגובות

תגובות

הוסיפו תגובה
{{ comment.number }}.
{{ comment.date_parsed }}
הגב לתגובה זו
{{ reply.date_parsed }}