V-Key: Большинство мобильных приложений для аутентификации можно взломать

Екатерина Быстрова 11 Октября 2021 - 09:03

Домашние пользователи

Android

iOS

Системы аутентификации

Парольная защита (пароли)

Средства генерации одноразовых паролей (OTP)

Защита мобильных устройств

...

V-Key: Большинство мобильных приложений для аутентификации можно взломать

Сингапурская компания V-Key, специализирующаяся на безопасности софта, опубликовала результаты исследования, которые говорят об уязвимости большинства мобильных приложений для аутентификации. Несмотря на защиту со стороны аппаратной составляющей, вредоносы могут вмешаться в работу таких программ.

Многие приложения для аутентификации используют криптографические ключи для генерации специальных кодов, которые впоследствии применяются для идентификации пользователя.

Другими словами, каждое такое приложение можно привязать к «сокровищнице», доступ к которой открывают лишь определённые ключи. Если злоумышленник похитит эти ключи, он сможет обойти аутентификацию и даже подписать документы от лица пользователя. Именно поэтому, кстати, большинство разработчиков подобных мобильных приложений стараются использовать как можно более защищённые хранилища для ключей.

И многие девелоперы находят решение в «доверенной среде выполнения» (Trusted Execution Environment, TEE). В Android-смартфонах это StrongBox Keystore, в устройствах iPhone — Secure Enclave (вкупе со связкой ключей Keychain).

«К сожалению, есть серьёзная логическая уязвимость, которую могут использовать киберпреступники. Мы обнаружили, что вредоносные программы можно использовать для добычи ключей аутентификации жертвы. Особенно это актуально для смартфонов, прошедших джейлбрейк или рутинг. Мы называем эту уязвимость “Trust Gap”», — объясняет технический директор V-Key Ер Чан Кай.

Исследователи описывают пример эксплуатации бреши: некий пользователь привык полагаться на одно из приложений для аутентификации, генерирующее одноразовые пароли для 2FA. В какой-то момент этот пользователь натыкается на интересную игру для мобильных устройств или на полезный софт для добычи криптовалюты.

Без задней мысли такую игру установят на смартфон, а за ней будет скрываться вредонос, повышающий права в системе. Если вы привыкли доверять Android Keystore или iOS Secure Enclave, у специалистов для вас плохие новости: с помощью установленного в систему зловреда злоумышленник может украсть ключ аутентификации, а точнее — OTP-сид, секретный ключ токена.

После этого преступник уже сможет генерировать одноразовые пароли самостоятельно. Как выразились эксперты V-Key, теперь атакующий полностью владеет цифровой личностью жертвы. При этом целевое мобильное приложение для аутентификации не должно быть запущено или как-то задействоваться для эксплуатации.

Следующая главная новость »

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!

Екатерина Быстрова 14 Мая 2026 - 13:21

Корпорации Газинформсервис

Киберстрахование выйдет на батл: Газинформсервис обсудит риски для бизнеса

Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», выступит экспертом по информационной безопасности (ИБ) на кибербатле. Он пройдёт на XX конференции «Корпоративное страхование 2026», которую организует компания ICG.

22 мая в «Гранд Отеле Европа» состоится второй день мероприятия. В рамках него проводится кибербатл: дискуссия на тему киберстрахования.

Модерировать её будет Иван Еремеев, управляющий директор РК «Страховой Брокер». А Сергей Полунин из компании «Газинформсервис» выступит экспертом по информационной безопасности и расскажет о ключевых трендах в направлении киберугроз для бизнеса, а также поделится статистикой.

Участники дискуссии разделятся на команды адептов, в которой выступят представители страховых компаний, и скептиков, которых представят заказчики. Они будут обмениваться опытом, цифрами и фактами на тему зрелости отрасли и запросов заказчиков и своевременности появления продуктов и услуг по страхованию киберрисков, затронут вопросы ценообразования и практики таких выплат.

«У бизнеса давно есть запрос на качественную киберзащиту и работу с киберрисками, которую мы как вендор, совместно с партнёрами, готовы обеспечивать. Но безопасность — это не только про внедрённые решения, но и про меры предосторожности на случай, если инцидент ИБ всё же случается. Поэтому мы развиваем направление киберстрахования и на форуме обязательно обсудим не только его ключевые аспекты с заказчиками, страховыми компаниями и другими участниками рынка, но и подготовим некую дорожную карту по развитию этого направления на ближайшие годы», — подчеркнул Григорий Ковшов, руководитель службы маркетинга компании «Газинформсервис».

«Наш рынок уже сформировал запрос на страхование в области киберзащиты: по оценкам экспертов, в 2025 году спрос на услуги киберстрахования вырос на 60%. И в последние несколько лет всё больше страховых компаний и других участников рынка киберстрахования пробуют, создают и предлагают на открытом рынке свои продукты и решения в этой области. Что интересно — взгляд рынка, страховщиков и ИБ-вендоров на страхование киберрисков различается в некоторых ключевых вопросах, и это станет залогом яркой дискуссии в рамках кибербатла», — отметил Сергей Полунин.

«Корпоративное страхование 2026» — это ежегодная международная конференция, которая состоится уже в 20-й раз. Мероприятие объединит ведущих экспертов отрасли для обсуждения актуальных вызовов, обмена практическим опытом и поиска эффективных решений в сфере корпоративного страхования.

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!