V-Key: Большинство мобильных приложений для аутентификации можно взломать

Екатерина Быстрова 11 Октября 2021 - 09:03

Домашние пользователи

Android

iOS

Системы аутентификации

Парольная защита (пароли)

Средства генерации одноразовых паролей (OTP)

Защита мобильных устройств

...

V-Key: Большинство мобильных приложений для аутентификации можно взломать

Сингапурская компания V-Key, специализирующаяся на безопасности софта, опубликовала результаты исследования, которые говорят об уязвимости большинства мобильных приложений для аутентификации. Несмотря на защиту со стороны аппаратной составляющей, вредоносы могут вмешаться в работу таких программ.

Многие приложения для аутентификации используют криптографические ключи для генерации специальных кодов, которые впоследствии применяются для идентификации пользователя.

Другими словами, каждое такое приложение можно привязать к «сокровищнице», доступ к которой открывают лишь определённые ключи. Если злоумышленник похитит эти ключи, он сможет обойти аутентификацию и даже подписать документы от лица пользователя. Именно поэтому, кстати, большинство разработчиков подобных мобильных приложений стараются использовать как можно более защищённые хранилища для ключей.

И многие девелоперы находят решение в «доверенной среде выполнения» (Trusted Execution Environment, TEE). В Android-смартфонах это StrongBox Keystore, в устройствах iPhone — Secure Enclave (вкупе со связкой ключей Keychain).

«К сожалению, есть серьёзная логическая уязвимость, которую могут использовать киберпреступники. Мы обнаружили, что вредоносные программы можно использовать для добычи ключей аутентификации жертвы. Особенно это актуально для смартфонов, прошедших джейлбрейк или рутинг. Мы называем эту уязвимость “Trust Gap”», — объясняет технический директор V-Key Ер Чан Кай.

Исследователи описывают пример эксплуатации бреши: некий пользователь привык полагаться на одно из приложений для аутентификации, генерирующее одноразовые пароли для 2FA. В какой-то момент этот пользователь натыкается на интересную игру для мобильных устройств или на полезный софт для добычи криптовалюты.

Без задней мысли такую игру установят на смартфон, а за ней будет скрываться вредонос, повышающий права в системе. Если вы привыкли доверять Android Keystore или iOS Secure Enclave, у специалистов для вас плохие новости: с помощью установленного в систему зловреда злоумышленник может украсть ключ аутентификации, а точнее — OTP-сид, секретный ключ токена.

После этого преступник уже сможет генерировать одноразовые пароли самостоятельно. Как выразились эксперты V-Key, теперь атакующий полностью владеет цифровой личностью жертвы. При этом целевое мобильное приложение для аутентификации не должно быть запущено или как-то задействоваться для эксплуатации.

Следующая главная новость »

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 27 Февраля 2026 - 15:28

Домашние пользователи

В WhatsApp по всему миру запустили рекламу в статусах и каналах

В WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) официально стартовал глобальный запуск рекламы в разделе «Обновления». Речь о двух форматах: Promoted Channels («Продвигаемые каналы») и рекламе в статусах. После этапа тестирования в отдельных странах разработчики объявили: теперь эти инструменты доступны по всему миру.

Весь рекламный контент сосредоточен именно во вкладке «Обновления», в личных чатах, звонках и группах ничего не меняется.

В WhatsApp подчёркивают, что личная переписка по-прежнему защищена сквозным шифрованием и не используется для таргетинга.

Реклама в статусах выглядит почти так же, как обычные статусы пользователей. Она появляется между публикациями и легко пролистывается одним свайпом, буквально за долю секунды. Если рекламодатель покажется навязчивым, его можно заблокировать или скрыть объявления через меню с тремя точками.

«Продвигаемые каналы» работают иначе: это способ для бизнеса и авторов выделиться в каталоге каналов. Такие каналы помечаются специальной меткой, чтобы было понятно, что продвижение оплачено. Например, локальная кофейня может рекламировать свой канал с сезонными предложениями, а фитнес-студия — привлекать аудиторию из своего района.

Таргетинг при этом строится на ограниченном наборе сигналов: языке, стране и взаимодействии с рекламой. Личные сообщения, звонки и активность в группах не используются для персонализации объявлений.

Новые рекламные форматы становятся доступны после обновления WhatsApp до последних версий на Android и iOS. Впрочем, как это часто бывает, развёртывание происходит постепенно, поэтому у некоторых пользователей изменения могут появиться не сразу.

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!