Os especialistas em segurança cibernética da Sophos detectaram recentemente vários aplicativos 2FA maliciosos na App Store e no Google Play que implantam malware.
Enquanto Twitter fez um anúncio recente afirmando que não considera mais a autenticação de dois fatores (2FA) baseada em SMS suficientemente segura.
Usuários que optaram por Twitterserviço premium, Twitter Blue e que adquiriram um selo verificado para aumentar seu alcance e duração do tweet são os mais afetados por essa mudança significativa.
No caso dos usuários pay-to-play, eles ainda poderão receber seus códigos de autenticação de dois fatores por mensagens de texto (SMS).
Nas próximas três semanas, o restante dos usuários deverá mudar para um sistema 2FA diferente antes de 17 de março de 2023. Uma solução viável para atender TwitterOs novos requisitos de segurança do Google são usar um aplicativo especializado que gere uma sequência única de códigos únicos propagados com um algoritmo de criptografia.
Alternativamente, os usuários também podem usar um token de hardware físico, como um Yubikey, que executa as funções criptográficas necessárias para verificar sua identidade.
Aplicativos 2FA confiáveis
Para usuários do iPhone, o gerenciador de senhas integrado ao sistema operacional iOS pode gerar códigos 2FA para vários sites. Isso elimina a necessidade de os usuários baixarem e instalarem qualquer software adicional, tornando o processo simples e descomplicado.
Para usuários do Android, o Google oferece seu próprio aplicativo autenticador, apropriadamente chamado Google Authenticator, que pode ser baixado na loja oficial do Google Play.
Este aplicativo pode gerar códigos exclusivos para fins de autenticação 2FA, tornando-o uma solução viável e confiável para usuários que buscam medidas de segurança aprimoradas com autenticidade adequada.
É razoável supor que um número significativo de usuários possa ter questionado sobre aplicativos autenticadores alternativos disponíveis para download. Esta curiosidade surge da necessidade de diversificar as suas medidas de segurança e não depender apenas de Apple ou os protocolos de segurança cibernética do Google.
Diversas empresas respeitáveis oferecem utilitários autenticadores que são gratuitos, confiáveis e de funcionalidade simples. Esses aplicativos autenticadores têm como único propósito fornecer códigos 2FA sem quaisquer taxas ou anúncios adicionais.
Isso é particularmente benéfico para usuários que preferem usar um aplicativo 2FA que não seja do mesmo fornecedor do sistema operacional.
Aplicativos 2FA maliciosos
A questão em questão é o grande número de aplicações disponíveis que oferecem este serviço, o que torna difícil determinar a sua fiabilidade e eficácia.
Para aumentar a complexidade está o fato de que esses aplicativos ganharam endosso e reconhecimento por sua qualidade por meio de sua inclusão nas lojas de aplicativos oficiais de Apple e Google, que mantêm protocolos de segurança rígidos.
Após a descontinuação do método SMS de autenticação de dois fatores por Twitteros especialistas analisaram vários aplicativos autenticadores.
Quando os analistas de segurança Tommy Mysk e Talal Haj Bakry investigaram aplicativos autenticadores, descobriram descobertas alarmantes e surpreendentes.
O investigação descoberta informações que antes eram desconhecidas para eles e levantou preocupações sobre a confiabilidade e eficácia de alguns aplicativos autenticadores.
Durante a investigação, os analistas de segurança descobriram vários aplicativos fraudulentos que se assemelham muito aos aplicativos autenticadores legítimos. Esses aplicativos são projetados para enganar os usuários, fazendo-os assinar um serviço anual que custa US$ 40.
A existência destas aplicações fraudulentas destaca a importância de uma consideração cuidadosa ao escolher uma aplicação autenticadora, pois é crucial garantir que seja de uma fonte confiável.
Eles identificaram quatro aplicativos autenticadores que possuem códigos binários quase idênticos. Esta semelhança sugere que estas aplicações podem ter sido desenvolvidas pela mesma entidade ou grupo.
Além disso, durante a investigação, os analistas também descobriram um aplicativo autenticador que envia todos os códigos QR escaneados para a conta do Google Analytics do desenvolvedor, levantando preocupações sobre a segurança e a privacidade dos dados do usuário.
Com base na investigação conduzida por analistas de segurança, parece que aplicativos impostores dentro desta categoria tentam persuadir os usuários a pagar taxas de assinatura anuais que variam de US$ 20 a US$ 40.
No entanto, é importante notar que este valor é comparável ao custo de aquisição de um token 2FA de hardware confiável, que provavelmente durará vários anos e oferecerá maior segurança.
Durante a pesquisa na App Store, eles encontraram um aplicativo com uma descrição que parecia mal escrita e continha vários erros gramaticais.
Curiosamente, o aplicativo foi desenvolvido por uma empresa que usava o nome de uma conhecida marca chinesa de celulares, o que provavelmente é uma tentativa de parecer legítimo e confiável.
É surpreendente notar que os indivíduos suspeitos de fraude conseguiram obter um Apple certificado de assinatura de código usando um nome que eles não estavam autorizados a usar.
O aplicativo com melhor classificação que apareceu em uma busca por aplicativos 2FA no Google Play não apenas cobra taxas desnecessárias, mas também obtém os segredos iniciais das contas configuradas para 2FA sem autorização.
Recomendação
É seguro usar um código gerado para uso único porque a semente não tem potencial para sofrer engenharia reversa, como resultado, a semente deve sempre permanecer em segredo.
Para verificar se o usuário forneceu um código correto que corresponde ao horário em que está tentando fazer login, o serviço que está tentando acessar requer uma cópia de sua semente.
Depois TwitterDe acordo com o anúncio, se você baixou recentemente um aplicativo autenticador, é recomendável que você revise sua escolha e certifique-se de ter selecionado um aplicativo confiável.
Coisas que você deve verificar: –
- Forçado a pagar uma assinatura por isso.
- O aplicativo está repleto de anúncios.
- O aplicativo vem com um marketing extraordinário e críticas elogiosas, mas vem de uma empresa da qual você nunca ouviu falar.
- Tendo dúvidas e algo não parece certo sobre isso.
Ao mudar para um novo aplicativo autenticador, é importante lembrar que você precisará redefinir todas as sementes 2FA de todas as contas associadas ao aplicativo anterior.
