Schwachstelle: 2FA durch Authenticator-Apps gefährdet

Publiziert am 11. März 2020 von Günter Born

Eine Zweifaktorauthentifizierung (2FA) verspricht eine bessere Absicherung bei einer Online-Anmeldung und gilt als 'Stein der Weisen'. Gerne kommen auch Authenticator-Apps für diesen Zweck verwendet. Gerade wird dieser Sicherheitsansatz aber erschüttert, weil sich über Authenticator-Apps die 2FA-Codes einfach abgreifen lassen. Und noch schlimmer: Google war z.B. über die Schwachstelle in der Authenticator-App seit Oktober 2014 im Bilde, ohne etwas zu unternehmen. Ähnliche gilt für Microsoft.

Anzeige

Ich hatte im Blog-Beitrag Sicherheitsinfos (1. März 2020) über die Cerberus-Malware berichtet, die mit einer RAT-Funktionalität aufgerüstet wurde. Die Malware ist nun in der Lage, den Zwei-Faktor-Authentifizierungscode (2FA) des Google Authenticator zu stehlen.

Die 2FA wird als zusätzliche Sicherheitsebene beim Einloggen in Online-Konten verwendet. Details zur Schwachstelle in der Google Authenticator-App finden sich bei Bleeping Computer und bei ZDnet.

Auch andere Authenticator-Apps betroffen

Bei Golem findet sich der Beitrag 2FA-Codes lassen sich einfach abgreifen, der das Ganze auf eine breitere Basis stellt. So gut wie alle Apps zur Zweifaktor-Authentifizierung (2FA), darunter der Google und der Microsoft Authenticator, haben keinen Schutz vor Screenshots implementiert.

Über einen Screenshot lässt sich dann der sechs- oder achtstellige TOTP-Code (Time-based One-time Password) von anderen Apps abgreifen. Jetzt ist alles in hellster Aufregung, weil so ein Fehler passieren konnte. Denn unter Android können Apps die Option zum Erstellen von Screenshots verhindern.

Schwachstelle seit 2014 bekannt

Google wurde bereits 2014 von Sicherheitsforschern auf das Problem bei der 2FA in Verbindung mit Screenshots in Android-Apps hingewiesen. Das erste Ticket auf Github stammt vom 8.7.2014, und beschreibt das Problem dediziert. Seit dieser Zeit arbeiten sich Sicherheitsforscher an diesem Thema ab und melden das auch Google oder Microsoft.

Denn auch Microsofts Authenticator-App plagt das gleiche Problem. Das Unternehmen wurde 2018 auf das Problem hingewiesen, wie man hier nachlesen kann. Microsoft hat sich aber geweigert, das als Bug anzuerkennen und einen Fix bereitzustellen. Neben Golem gibt es einen englischsprachigen Beitrag bei ZDNet zum Thema. Generell lässt sich feststellen, dass die Android 2FA-Apps wohl eher keinen Beitrag zur wirklichen Absicherung leisten – denn ein infiziertes Android-Gerät ermöglicht die TOTP-Codes abzugreifen.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Schwachstelle: 2FA durch Authenticator-Apps gefährdet

  1. Peter sagt:
    11. März 2020 um 08:52 Uhr

    Ist das mit den Screenshots dann nicht auch ein generelles Problem, dessen Prüfung man durchaus auch auf Passwort-Manager ausweiten sollte? Die können ja u.A. auch TOTP-Codes erstellen und sogar Passwörter verraten… ;-)

    Antworten
  2. MK sagt:
    11. März 2020 um 11:53 Uhr

    Können unter Android Programme Screenshots auslösen – ohne das der Benutzer es erfährt?

    Ansonsten ist der Sinn von 2fa ja, daß man verschiedene Geräte für den Zugang (Browser) und den Code hat. Solange höchstens eines infiziert ist bleibt die Sicherheit gegeben. M.E. ist die klassische Version mit Code per SMS auf dummes Telefon ohne Internet immer noch die am wenigsten anfällige. Nutzt man Zugang und Code auf dem selben Gerät (wie es viele Banken jetzt vorschlagen) wird das nicht lange gut gehen…

    Antworten
    • Micha sagt:
      11. März 2020 um 15:46 Uhr

      Soweit ich weiß gab es bei manchen Providern Sim Karten für ein zweites Gerät (Multi Cards) ohne dass die Identität des Antragsstellers ordnungsgemäß überprüft wird.

      Im Fall der fälle liest dein Angreifer einfach alle deine SMS mit ohne das jemand das Weiß.

      Antworten
  3. Micha sagt:
    11. März 2020 um 15:58 Uhr

    Da war also die Entscheidung einen Hardware Authenticator für die Account Sicherheit zu kaufen vor mehreren Jahren die richtige Entscheidung.

    Der Elektromarktmitarbeiter musste den dann gegen seinen willen bestellen.

    Dieses Verfahren kann allerdings durch einen Man in the Middle angriff gehackt werden.

    Leider gibt es nur bei wenigen Anbietern die Möglichkeit eine 2 Zweifaktorauthentifizierung mit einem Hardwaretoken zu benutzen. Meistens wird man darauf verwiesen das es nur Apps gibt.

    Antworten

Schreibe einen Kommentar zu Micha Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.