Tham dự Tech Lounge

Tham dự Tech Lounge


Mã độc trên Android đã có thể lấy cắp mã OTP từ Google Authenticator

P.W
27/2/2020 7:9Phản hồi: 158
Mã độc trên Android đã có thể lấy cắp mã OTP từ Google Authenticator
Các nhà nghiên cứu bảo mật tại ThreatFabric của Hà Lan vừa rồi đã công bố Cerberus, một dòng malware trên Android đã có thể ăn cắp và trích xuất mã bảo mật OTP từ Google Authenticator, ứng dụng xài tính năng bảo mật hai lớp (password của tài khoản và mã OTP – One Time Password). Google Authenticator đã ra mắt từ năm 2010, và hẳn nhiều anh em đang đọc bài này không lạ gì ứng dụng tạo ra cụm mã số 6 đến 8 ký tự để đăng nhập nhiều loại tài khoản này.

Trước đây, Google, hay chính người dùng cho rằng, vì mã OTP được tạo ra trên smartphone của người dùng thay vì được gửi qua mạng viễn thông như OTP SMS, nên hacker khó có thể can thiệp ăn cắp mã bảo mật lớp thứ 2 này hơn. Nhưng hóa ra giờ đã có cách can thiệp. Các chuyên gia tại ThreatFabric đã “bắt quả tang” một phiên bản trojan Ceberus ăn cắp được mã OTP từ Google Authenticator. Theo họ, loại mã độc này rất mới, bắt đầu xuất hiện từ khoảng tháng 6/2019:

“Loại trojan này có thể lợi dụng quyền Accessibility mà hệ điều hành tạo ra để hỗ trợ người già và người khuyết tật dùng điện thoại. Nó có thể ghi hình lại nội dung màn hình và gửi về cho máy chủ của hacker. Chúng tôi tin rằng loại mã độc này vẫn còn đang trong quá trình thử nghiệm nhưng sẽ sớm được bọn hacker ứng dụng để lợi dụng sự sơ hở của người dùng, nhắm vào những tài khoản ngân hàng đòi xác nhận đăng nhập và giao dịch thông qua mã OTP cung cấp từ Google Authenticator.”


Theo ZDNet
158 bình luận
Chia sẻ

Xu hướng

Ngày càng tinh vi, người dùng biết phải làm sao
@trainoitrull Toàn mấy bài gây hoang mang, hack kiểu này chỉ có thể nhằm vào cá nhân và tỉ lệ thành công cũng rất thấp. Tội nghiệp ông google.
ChipHero
TÍCH CỰC
4 năm
@iCừu 01 Nó mà ngon thì đã chính thức rồi, đâu có đợi hơn nửa năm nay vẫn thử nghiệm
thang_a14
TÍCH CỰC
4 năm
@iCừu 01 đánh cắp tài khoản Google hàng loạt rồi bán ông ơi
Chuyển qua dùng IOS cho bảo mật.kkk
thuca1992
TÍCH CỰC
4 năm
@huyhoangjo tất nhiên k có bảo mật tuyệt đối nhưng ít chắc chắn sẽ tốt hơn.
goldenstar
TÍCH CỰC
4 năm
@thuca1992 Được này mất kia thôi.
bocua
CAO CẤP
4 năm
@andytran1986 Lỗ hổng kiểu gì khi không dùng tool JB máy bạn? Chui thế nào vào được nếu bạn không JB, ko cài app từ ngoài được còn Android thì app APK vẫn cài được?
Bạn vẫn không hiểu vấn đề mình đang nói đến. Bạn chỉ đang quanh quẩn ở cái vấn đề "điện thoại của bạn", nhưng cái ngta đang bàn ở đây là: iOS mã đóng, nhưng vẫn JB được., nghĩa là nó vẫn chưa an toàn. Nói 1 cách dễ hiểu, ví dụ iP không cho cài app ở ngoài, người ta JB để ĐƯỢC cài app ở ngoài (Apple ko kiểm soát được). Nghĩa là iOS vẫn có lỗ hổng để người ta đi "cửa sau" !!!

Thứ 2, bạn thật ngây thơ khi cho rằng: hacker phải chạm vào đt của bạn, phải cầm được vào đt bạn mới hack đượ, nên bạn vô tư nghĩ rằng bạn ko JB là bạn an toàn, là bạn không mở cửa cho hacker vào, thì nó vào ko đc!
Cái gì cũng có lỗ hổng của riêng nó!
Mr Seen
CAO CẤP
4 năm
@phucprolangtu cỡ nào cũng phải có mấy vụ này để mấy hãng bảo mật còn sống chớ
=)) TOANG HẲN 😁 Thế này thì mấy app Smart OTP cũng toang theo thôi :D
Móa ông BIDV còn chơi App Smart OTP tích hợp luôn vào SMartBanking =)) thế này chả khác gì tự bóp
peterh
CAO CẤP
4 năm
@mannavod Vậy chứ bàn phím không hiện ra khi gõ à?!
@qquocddatdk Đó là lúc mở app đòi faceid nhưng khi ck nó lại đòi tiếp như hình trên đó bác
@peterh Smartotp nó theo máy. Đổi máy thì phải đk lại
Quy Le Anh
TÍCH CỰC
4 năm
Thế giờ biết làm sao giờ :-s
Chuyển qua iPhone dùng chăng 🤔 :v
chuyển sang ios thôi bạn
bocua
CAO CẤP
4 năm
Nhìn thấy cái app góc dưới cùng bên phải ko.
image.jpg
@bocua 😃 một app lấy thông tin màn hình app khác đang chạy trên ios như thế nào ấy nhỉ 😃
zxonline
ĐẠI BÀNG
4 năm
@baotuan @baotuan Chờ bác up ảnh mua ip. Chứ google authen có trên ios từ đời nào rồi
bocua
CAO CẤP
4 năm
@nnkjsc Chưa hiểu ý bạn hỏi?
nguy hiểm quá ,công ty mình toàn dùng mã xác thực GG mới cho vào hệ thống :d
Thua, thua thật sự
oxechip
TÍCH CỰC
4 năm
lợi dụng người già và người khuyết tật vậy , là khó khăn, vừa phải giải quyết làm sao tiện lợi cho họ, vừa phải sữa lỗi
Thốn vậy, chắc cài Authy có thêm passcode cho chắc đi anh em
noinghenah
TÍCH CỰC
4 năm
@Nam Air Nó record màn hình á nên xài cái gì cũng bị trừ Yubikey thôi. Còn google authen thật ra khó sync giữa các máy hơn Authy nữa, mỗi lần change phone cũng cần log in vào acc google mới chuyển được.
😆 Bài viết lòng vòng quá, tóm lại là hacker tấn công vào khả năng ghi lại màn hình chứ không phải bản thân việc sms otp
ChipHero
TÍCH CỰC
4 năm
@hypous Nói chung ko có j đáng lo ngại, hiện tại nó ko nguy hiểm, nếu có nguy hiểm gg sẽ fix nó ngay lập tức
Dùng authy tốt hơn cả vạn lần, backup bằng tài khoản nữa ko phải nhập lại mà khi cài lại máy.
Nó chỉ là app, cơ chế là dịch từ cái mã gốc thành OTP, 2 phần mềm nó ra kết quả như nhau. Nên ko vấn đề gì hết.
@tucammoi Cơ bản là đăng ký tài khoản Authy rồi add các tài khoản OTP khác vào đó. Cài lại máy thì phải nhập đúng cái tài khoản và cái mật khẩu vào.
gaucon3503
TÍCH CỰC
4 năm
@cloud5trike GG họ có thể làm tốt hơn thế cả triệu lần, nhưng họ không làm, vì app OTP thì nên bảo mật, sync key bảo mật qua server bên trung gian là không hề an toàn.
tucammoi
TÍCH CỰC
4 năm
@cloud5trike Authy nó đòi code trên đt đã dky mà.
Thế này thì phải cấm các hoạt động ghi, chụp ảnh màn hình đối với các ứng dụng bảo mật, không thể cấp quyền này bất kể lý do gì
lover19
TÍCH CỰC
4 năm
các bác auto công kích, lọi dụng tính năng nguoi già khuyết tật, chụp lại man hình. có cáo otp nào thoát được. kể cả ios nếu dính con này. vân đề là hackr phải chiếm được cả pass admin và đien thoại otp cùng lúc.
thuca1992
TÍCH CỰC
4 năm
@gaucon3503 đương nhiên. từ trước h cài bên ngoài k thiếu, hoàn toàn vui vẻ và chưa gặp vấn đề gì. ông nên chúc người anh em thiện lành Android vui thì hơn =))
@gaucon3503 Nc khờ khạo vậy
Đang nói iOS đi chuyển qua HDH PC
Trong khi cái DT là cái đang được nhắc đến trong bài vì nó Android nó quay lại màn hình cấp OTP của app khác
Trong khi cơ chế iOS không cấp quyền như vậy?
Rõ chưa?
DT là DT mà PC là PC
gaucon3503
TÍCH CỰC
4 năm
@thuca1992 Suy nghĩ giản đơn như bạn có khi lại vui, cũng đáng suy ngẫm đấy
lover19
TÍCH CỰC
4 năm
@gaucon3503 mình có thể nói thế này. ai cũng tự cho là mình hay, mình giỏi, cách của mình là siêu việt nhất chỉ đến khi xảy ra vấn đề thù bạn mới học được. cung có thể không bao giờ xảy ra vấn đề gì. nhưng có 1 điều chắc chắn - trên đời này không có gì là không thể.
LamMapKute
ĐẠI BÀNG
4 năm
Hóng Google lên tiếng
Mà cũng nên phân biệt rõ giữa "mã độc trên Android" với "mã độc trên thiết bị đám bựa" nha. Android có nhiều hãng lắm.
quá toang. nó ăn cắp từ ảnh chụp màn hình thì ko chỉ app này, bất kỳ app authen nào nó cũng lấy dc hết
anhtuan9999
ĐẠI BÀNG
4 năm
Qua VietinBank dùng soft OTP cho an toàn

Xu hướng

Bài mới









  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2024 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
  • Số điện thoại: 02822460095
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019