محققین شرکت امنیتی ThreatFabric باگی جدید در نرمافزار Authenticator پیدا کردهاند که به هکرها اجازه میدهد کدهای تولید شده توسط این اپ را کپی کنند و وارد حسابهای کاربری هدف خود شوند.
گوگل آتنتیکیتور (Authenticator) برنامهای است که به کاربران اجازه میدهد به جای استفاده از رمز عبور، از کدهای یک بار مصرفی استفاده کنند که توسط این برنامه تولید میشود؛ به نوعی میتوان کارایی آن را مشابه رمز پویا دانست. با این حال باگی که در این برنامه پیدا شده، به هکرها اجازه میدهد به نمایشگر گوشی دسترسی داشته باشند و از کدهای تولید شده توسط این برنامه اسکرین شات بگیرند.
به نظر میرسد این باگ گریبان مایکروسافت را نیز گرفته باشند، چرا که همین باگ در برنامه مایکروسافت آتنتیکیتور نیز پیدا شده و با همین سطح از دسترسی به هکرها اجازه سرقت کدها را میدهد. البته هکرها برای دسترسی به کدهای تولید شده توسط این برنامهها، ابتدا باید توسط برنامه تروجان خود وارد گوشی هوشمند کاربر شده و سپس به برنامه گوگل و مایکروسافت نفوذ کنند.
پس از آن میتوانند با وارد شدن به این برنامه، رمز عبور یکبار مصرف برای حسابهای کاربری ذخیره شده در آن را تولید کنند و با استفاده از باگ، از صفحه و کد نمایش داده شده اسکرین شات بگیرند. سپس به کمک این کد و اطلاعات کاربری، میتوانند وارد اکانت شخص هدف شوند. البته اندروید قابلیتی را در اختیار توسعهدهندگان قرار داده که به کمک آن میتوان از اسکرین شات گرفتن از برخی صفحات ممانعت کرد.
این قابلیت تحت عنوان «FLAG_SECURE» شناخته میشود. با این حال به نظر میرسد نه گوگل و نه مایکروسافت از چنین قابلیتی بهره نمیبرند. در این گزارش آمده است که گوگل برای اولین بار در سال ۲۰۱۴ پچی برای برطرف کردن این مشکل گوگل آتنتیکیتور منتشر کرده بود، اما از سال ۲۰۱۷ دوباره این باگ در برنامه وجود داشته و تاکنون نیز اقدامی برای برطرف کردن آن انجام نشده است.
📚 مطالعه کنید 👈 آیا بعد از وریفای, نیاز به استفاده از IP همان کشور داریم؟
جایگزین گوگل آتنتیکیتور کدام است؟
بهترین برنامه جایگزینی که میتوانیم معرفی کنیم ۲FAS Authenticator است
این برنامه تمامی مشکلات و باگ های امنیتی گوگل آتنتیکیتور را حل کرده است و با خیال راحت میتوانید از آن استفاده کنید
از مزیت های خوب این برنامه میتوان به موارد زیر اشاره کرد:
- قابلیت فیس ایدی (FACE ID)
- پشتیبان گیری (در صورت گم شدن تلفن همراه میتوانید مجدد بازیابی کنید)
- ایجاد پسورد برای ورود
- قابل نصب در اندروید و آیفون
- همگام سازی در بین دستگاه ها
دانلود