导读 已发现恶意Android应用程序可以访问一次性密码(OTP)来绕过双因素身份验证(2FA)安全机制。ESET的研究人员周四表示,该应用程序模拟了土耳其
已发现恶意Android应用程序可以访问一次性密码(OTP)来绕过双因素身份验证(2FA)安全机制。
ESET的研究人员周四表示,该应用程序模拟了土耳其的一个加密货币交易所,名为BtcTurk,可以在Google Play上下载。
试图绕过2FA以劫持受害者设备的移动应用程序通常会要求控制短信设置所需的权限,这将允许恶意软件拦截旨在为在线帐户添加第二层安全的2FA代码。
今年早些时候,谷歌限制了Android中的短信和通话录音权限,以防止开发者在没有首先在科技巨头面前表达自己的情况下获得这些敏感权限。
严厉的打击给一些合法开发者造成了困惑,他们的应用突然面临失去有用功能的风险。然而,当涉及到恶意应用程序时,谷歌政策的变化剥夺了许多可以用来滥用短信和呼叫日志控制来绕过2FA的选项。
在ESET发现的应用程序中,开发人员提出了一种规避谷歌变化的方法。
第一款应用于2019年6月7日上传至Google Play,开发者和应用名称为“BTCTurk Pro Beta”。第二个叫做“BtcTurk Pro Beta”,属于开发者名“BtSoft”。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!