Autenticação em duas etapas de Google e Microsoft apresentam falhas de segurança

Um grupo de especialistas em segurança encontrou uma falha grave nos aplicativos de autenticação do Google e da Microsoft, usados para a habilitação da autenticação em dois fatores em diferentes serviços online. Eles não estão protegidos contra a produção de screenshots com seus códigos, algo que, em conjunto com um malware ainda em desenvolvimento, pode levar à invasão de contas que utilizem o recurso de proteção.

A descoberta é da ThreatFabric, uma empresa especializada em segurança da informação, e aponta para a ameaça do Cerberus, uma praga que não teve usos registrados mas que parece estar prestes a ser finalizada. Por meio de acesso remoto aos dispositivos infectados, hackers seriam capazes de abrir os aplicativos de autenticação e registrar os códigos de validação, que são enviados a eles por meio de uma simples captura de tela.

A praga funcionaria tanto no iOS quanto no Android a partir de uma vulnerabilidade teoricamente simples de ser resolvida. Em ambos os sistemas, os apps de autenticação do Google e da Microsoft permitem que screenshots sejam tiradas de seu conteúdo, podendo ser compartilhadas livremente com qualquer um e levando consigo os códigos de autenticação que permitem acesso aos serviços.

Para quem não sabe como o sistema funciona, a ideia é que, ao logar em uma plataforma com perfil e senha, um segundo código numérico é exigido dos usuários. Ele é obtido a partir de tais aplicativos, instalados no celular do dono da conta, e são aleatórios, além de se renovarem a cada minuto, excluindo o risco caso o utilizador passe a combinação para alguém. Usando a praga, um hacker em um ataque direcionado não precisaria se preocupar com nada disso e receberia as combinações em tempo real.

• Internet segura: falta muito para o Brasil chegar lá?

Um caminho a seguir seria o tomado pelo Authy e outras soluções semelhantes no mercado, que bloqueiam a produção de capturas das telas de código justamente pelo caráter de segurança envolvido nesse compartilhamento. De acordo com os especialistas, o sistema operacional Android tem, inclusive, uma configuração interna simples que pode ser realizada para impedir esse ato, mas que não está ativada nos softwares das duas empresas.

Apesar disso, há uma boa notícia. Segundo a ThreatFabric, não existem indícios de utilização do Cerberus para fins maliciosos e o próprio malware ainda está em fase de desenvolvimento. Sendo assim, ainda há tempo para que as empresas realizem as alterações necessárias em seus autenticadores para coibir a atuação de bandidos que tentem quebrar a verificação em duas etapas, recurso normalmente indicado como medida de segurança para que, mesmo com um vazamento de credenciais, os usuários não tenham suas contas invadidas por bandidos.

Em contato com o Canaltech, o Google preferiu não comentar sobre o assunto. A reportagem também entrou em contato com a Microsoft, que não enviou uma declaração até o fechamento desta matéria.

Fonte: TechRadar