發(fā)現(xiàn)新的Cerberus惡意軟件會繞過GoogleAuthenticator

ThreatFabric的安全研究人員現(xiàn)在發(fā)現(xiàn)了一種新的針對Android的Cerberus惡意軟件變種，可以完全繞過Google Authenticator。惡意軟件可以通過從應(yīng)用程序中捕獲并竊取身份驗證代碼來實現(xiàn)這一目標(biāo)。這些代碼通常與給定帳戶的更多標(biāo)準密碼一起用作輔助標(biāo)識措施。

Cerberus的新品系包括許多改動。尤其重要的是，它利用Android中的“輔助功能”權(quán)限來訪問由Google的Authenticator應(yīng)用生成的一次性代碼。它通過在Authenticator運行時獲得對Android界面內(nèi)容的訪問來實現(xiàn)。該信息將發(fā)送到命令和控制服務(wù)器。

結(jié)果，這些代碼可用于訪問各種帳戶，甚至可以從遠程位置訪問這些帳戶，而無需物理訪問設(shè)備。這恰好規(guī)避了Google Authenticator打算提供的安全性。

現(xiàn)在，Cerberus是Android中發(fā)現(xiàn)的許多不同惡意軟件類型之一。它主要是銀行木馬，但也可以訪問其他類型帳戶的憑據(jù)。它已經(jīng)相當(dāng)先進了。這些遠程訪問木馬(RAT)功能的添加會將其轉(zhuǎn)移到另一類惡意軟件中。

這是因為通常沒有很多惡意軟件可以超越多因素身份驗證方法。更相關(guān)的是，Google的Authenticator應(yīng)用程序不會傳輸其生成的六到八位數(shù)的代碼。那些保留在設(shè)備上，通常會在基于標(biāo)準SMS的身份驗證方法上添加額外的保護層。

繞過該安全層的附加功能將使Cerberus格外強大，使其與歷來感染應(yīng)用程序和運行Google移動操作系統(tǒng)的設(shè)備的惡意軟件相距甚遠。

目前，ThreatFabric報告說，新的Cerberus菌株似乎不存在。實際上，它似乎不可用，甚至沒有通過網(wǎng)絡(luò)的黑客論壇進行宣傳。研究人員說，這意味著它仍在接受測試。因此，盡管用戶應(yīng)該意識到這一威脅，但這并不是一個大問題。

Google可能會根據(jù)信息采取行動并制定計劃或解決方案，以防止新菌株竊取代碼。這也不應(yīng)該是所有用戶的一種安慰。首先，這里的解決方案可能需要更改權(quán)限，以防止Cerberus濫用這些權(quán)限?？傊?，這將需要對基礎(chǔ)Android系統(tǒng)進行更改。

目前尚不清楚是否可以通過固件更新或安全補丁更新來實施任何此類更改。不管怎樣，谷歌不一定能夠傳播它。相反，它將落在硬件OEM及其各自的更新周期上。首先，這些差異很大。較舊的設(shè)備根本不會自動收到更新。

相反，Google可以通過更改訪問Accessibility相關(guān)權(quán)限的方式和應(yīng)用程序來解決該問題。

如果ThreatFabric對其在不久的將來可能發(fā)布的版本是正確的，那對于Android用戶而言并不是一個好兆頭。對于使用多因素身份驗證的用戶，這幾乎沒有其他選擇。