V-Key: Большинство мобильных приложений для аутентификации можно взломать

V-Key: Большинство мобильных приложений для аутентификации можно взломать

V-Key: Большинство мобильных приложений для аутентификации можно взломать

Сингапурская компания V-Key, специализирующаяся на безопасности софта, опубликовала результаты исследования, которые говорят об уязвимости большинства мобильных приложений для аутентификации. Несмотря на защиту со стороны аппаратной составляющей, вредоносы могут вмешаться в работу таких программ.

Многие приложения для аутентификации используют криптографические ключи для генерации специальных кодов, которые впоследствии применяются для идентификации пользователя.

Другими словами, каждое такое приложение можно привязать к «сокровищнице», доступ к которой открывают лишь определённые ключи. Если злоумышленник похитит эти ключи, он сможет обойти аутентификацию и даже подписать документы от лица пользователя. Именно поэтому, кстати, большинство разработчиков подобных мобильных приложений стараются использовать как можно более защищённые хранилища для ключей.

И многие девелоперы находят решение в «доверенной среде выполнения» (Trusted Execution Environment, TEE). В Android-смартфонах это StrongBox Keystore, в устройствах iPhone — Secure Enclave (вкупе со связкой ключей Keychain).

«К сожалению, есть серьёзная логическая уязвимость, которую могут использовать киберпреступники. Мы обнаружили, что вредоносные программы можно использовать для добычи ключей аутентификации жертвы. Особенно это актуально для смартфонов, прошедших джейлбрейк или рутинг. Мы называем эту уязвимость “Trust Gap”», — объясняет технический директор V-Key Ер Чан Кай.

Исследователи описывают пример эксплуатации бреши: некий пользователь привык полагаться на одно из приложений для аутентификации, генерирующее одноразовые пароли для 2FA. В какой-то момент этот пользователь натыкается на интересную игру для мобильных устройств или на полезный софт для добычи криптовалюты.

Без задней мысли такую игру установят на смартфон, а за ней будет скрываться вредонос, повышающий права в системе. Если вы привыкли доверять Android Keystore или iOS Secure Enclave, у специалистов для вас плохие новости: с помощью установленного в систему зловреда злоумышленник может украсть ключ аутентификации, а точнее — OTP-сид, секретный ключ токена.

После этого преступник уже сможет генерировать одноразовые пароли самостоятельно. Как выразились эксперты V-Key, теперь атакующий полностью владеет цифровой личностью жертвы. При этом целевое мобильное приложение для аутентификации не должно быть запущено или как-то задействоваться для эксплуатации.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Большая часть россиян хотят использовать средства родительского контроля

Согласно опросу, проведённому банком ВТБ в преддверии Международного дня защиты детей, который отмечается 1 июня, 86% респондентов считают необходимым использовать цифровые инструменты для защиты детей от нежелательного контента.

Исследование проводилось в мае 2025 года среди 1500 родителей из городов с населением от 100 тысяч человек и выше.

Судя по результатам опроса, более четверти (27%) участников доверяют уже существующим на рынке инструментам родительского контроля, а 30% используют такие технологии от случая к случаю. Почти столько же — 29% — хотели бы применять цифровые средства защиты, но пока не нашли подходящего решения.

Лишь 14% опрошенных считают, что ответственность за контроль доступа детей к информации должна полностью лежать на родителях. При этом в отдельных регионах этот подход получил более широкую поддержку: так, в Санкт-Петербурге и Ленинградской области его разделяют 22% респондентов, а на Дальнем Востоке — 24%.

Кроме ограничительных функций, пользователи заинтересованы и в расширении возможностей цифровых помощников. 88% респондентов хотят, чтобы такие технологии стали не только фильтрами, но и собеседниками для детей, источниками познавательной информации. В роли воспитателя или репетитора цифровых ассистентов готовы использовать 79% участников опроса.

«Цифровые помощники и ассистенты, способные решать за пользователя широкий круг задач — от поиска до анализа больших объёмов информации — находят всё более широкое применение по всему миру. Мы в ВТБ активно развиваем это направление, видим в нём огромный потенциал для повышения качества и персонализации услуг. Уверен, что в ближайшие годы такие технологии станут неотъемлемой частью жизни клиентов, позволяя принимать быстрые и точные решения в реальном времени. Эти и другие актуальные вопросы мы обсудим на конференции ЦИПР, которая стартует 2 июня в Нижнем Новгороде. Там мы совместно определим будущее цифровых сервисов в финансовой сфере», — прокомментировал Максим Коновалихин, старший вице-президент ВТБ, руководитель департамента анализа данных и моделирования.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru