Un malware que puede robar los códigos de autenticación multifactor en Android

Se conoce como autenticación multifactor al proceso de inicio de sesión (puede ser en un sitio web, una app, una laptop, etc.) en el que el usuario debe ingresar dos o más mecanismos de autenticación:

  • Algo que sabe: Su contraseña.
  • Algo que tiene: Un código o token generado por una aplicación autenticadora (como Google Authenticator, Authy, Duo) o via SMS, o una llave de seguridad física (como la YubiKey de Yubico).
  • Algo que es: Sus huellas dactilares, su voz, su cara (reconocimiento facial), etc.

Este proceso reduce las probabilidades de que un atacante pueda hacerse pasar por nosotros, al requerir más de un factor para lograr iniciar sesión en el servicio. Si el atacante lograra obtener acceso a mi contraseña de Gmail, necesitaría también acceso físico a mi teléfono para obtener el token (que cambia cada 30 segundos), o a mi llavero para utilizar la llave de seguridad.

En un informe publicado esta semana por la firma de seguridad informática ThreatFabric, se dio a conocer que una variante -aun no disponible públicamente- del malware Cerberus es capaz de utilizar las funciones de accesibilidad de los dispositivos con sistema operativo Android para “leer” los códigos generados por la aplicación Google Authenticator y enviarlos a un servidor remoto.

Esto potencialmente permitiría a un atacante obtener el segundo factor de autenticación requerido para ingresar.

ThreatFabric confirmó que esta nueva funcionalidad aun no se encuentra disponible en las versiones de Cerberus que están a la venta en Internet, pero esperan que pueda ser liberada en el corto plazo según detallan en el informe.

Sin embargo, es importante destacar que el malware solo podría explotar esta funcionalidad cuando el usuario le haya otorgado privilegios para utilizar las funciones de accesibilidad.

El equipo de Authy, una de las aplicaciones que permite generar códigos de autenticación de la misma manera que lo hace Google Authenticator, confirmó via Twitter que están al tanto de esta vulnerabilidad, pero que no tienen evidencias de que también afecte a Authy.

Malwares como Cerberus normalmente dependen de la posibilidad de leer y capturar la pantalla del usuario. La app Authy para Android no permite capturas de pantalla de los códigos de autenticación. Al intentarlo, el usuario observará en pantalla el mensaje “No es posible capturar la pantalla debido a la política de seguridad“.

Si bien, como mencioné anteriormente, esta versión del malware aun no se ha hecho pública, es recomendable que los usuarios de Android verifiquen los permisos otorgados a las aplicaciones, y revoquen aquellos que no sean necesarios.

Por último, quiero destacar que este tipo de vulnerabilidades no deben frenar la adopción de un mecanismo adicional de autenticación. Los códigos de autenticación generados mediante aplicaciones como Authy, Duo, Google Authenticator, entre otras, siguen proveyendo mayor seguridad que los códigos enviados via SMS.

Las estadísticas demuestran que en los últimos años se ha reducido el robo de identidad y el secuestro de cuentas online gracias a la autenticación multifactor. Según un informe presentado por Google en Mayo del 2019, este mecanismo de seguridad logró prevenir el 100% de los intentos de inicio de sesión realizados por robots, el 99% de los ataques de phishing, y el 90% de los ataques selectivos.

Para más información acerca de cómo funciona la autenticación multifactor, les recomiendo leer ¿Cómo funciona la autenticación multifactor?

Comentarios

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.