Vigyázat, csaló 2FA alkalmazások az App Store-ban és a Google Playen!

A Twitter nemrég bejelentette, hogy már nem tartja elég biztonságosnak az SMS-alapú kétfaktoros hitelesítést (2FA), és ezt a hitelesítési módot meg is szünteti a nem fizetős felhasználók számára. Akik nem rendelkeznek előfizetéssel, azoknak még 2023.03.17-e előtt át kell állniuk egy másfajta 2FA rendszer, például hitelesítő alkalmazás használatára, ha biztonságban szeretnék tudni a fiókjukat. Minderről az NBSZ NKI egy korábbi cikkében részletesebben is írtunk.

Ez a gyakorlatban azt jelenti, hogy olyan alkalmazást vagy tokent kell használni, amely elvégzi a személyazonosságunk hitelesítésének a kriptográfiai részét. Ez lehet egy hardveres token (például egy Yubikey) vagy akár egy alkalmazás is.

Tommy Mysk, a @mysk_co társalapítója így fogalmazott:

„Miután a Twitter leállította a 2FA SMS-módszert, több hitelesítési alkalmazást is elemeztünk. Sok csaló alkalmazással találkoztunk, amelyek szinte ugyanúgy néztek ki, mint az eredetiek (…) Egy olyat is találtunk, mely minden beolvasott QR-kódot elküldött a fejlesztő Google Analytics-fiókjába.”

Mysk egy másik problémára is felhívta a figyelmet. Amennyiben a telefonunk alkalmazás áruházában rákeresünk az „Authenticator app” kifejezésre, az alábbi eredményeket kapjuk:

A bűnözők gyakran alkalmazzák az ún. „typosquatting” módszert, ahol egy betűt kicserélnek egy eredetihez hasonló karakterre. Így a két név valóban nem fog megegyezni, azonban vizuálisan épp annyira hasonlít az eredetihez, hogy első pillantásra megtévessze az embert.

Ebbe a kategóriába tartozó csaló alkalmazások általában arra próbálják rávenni a felhasználókat, hogy évente 20 és 40 dollár közötti összegért fizessenek elő. Ez körülbelül olyan összeg, amennyibe egy jó hírű hardveres 2FA token kerülne, amely évekig használható-, és biztonságosabb is lenne:

A Google Play-en egy olyan alkalmazás szerepelt a találatok között, amelyről a @mysk_co már korábban is tweetelt, és arra figyelmeztetett, hogy nemcsak pénzt követel, hanem ellopja a 2FA-hoz beállított fiókok adatait is.

 

Mit tehetünk?

Amennyiben a közelmúltban választott hitelesítő alkalmazást, javasoljuk annak felülvizsgálatát a mostani ismeretek fényében.

Fogjon gyanút, ha a letöltés során alkalmazáson belüli jogosulatlan fizetésre került sor, az alkalmazás tele van hirdetésekkel vagy a megszokottnál nagyobb marketinggel és „vásárlói” visszajelzésekkel rendelkezik, azonban mégis olyan cégtől származik, amelyről még csak nem is hallott. Továbbá mindenképp kérje ki egy szakértő véleményét a témával kapcsolatban!

Abban az esetben, ha Apple-t használ, a beépített jelszókezelő képes 2FA-kódokat generálni tetszőleges számú weboldalhoz, így nincs szükség további szoftverek telepítésére. A Google pedig saját Google Authenticator alkalmazássál rendelkezik, mely letölthető a Play Store-ból.

Amennyiben úgy dönt, hogy hitelesítőt vált, mert nem biztos a meglévőben, mindenképpen törölje a tárolt adatait a korábban használt alkalmazásból!

(nakedsecurity.sophos.com)