Již dlouhou dobu nabádáme čtenáře, aby využívali dvoufázové ověření, které je také známé jako 2FA. V podstatě jde o systém, kdy máte k dispozici uživatelské jméno, heslo a také aplikaci, která vám generuje dočasná hesla, která zadáváte při přihlášení. V tomto týdnu ale došlo k podezřelému rozmachu aplikací, které se tváří jako autentifikátory. Některé mají jen nestandardní fungování, jiné odesílají data.
Ne každá aplikace se hodí
Bezpečnostní výzkumník známý na Twitter jako Mysk upozorňuje na kampaň v rámci obchodu AppStore, která propaguje podezřelou aplikaci, která by měla sloužit jako autentifikátor pro dvoufázové ověření. Při bližším prozkoumání aplikace objevil výzkumník části kódu, které odesílají skenované QR kódy samotnému vývojáři. Právě QR se používá pro spárování aplikace s konkrétní webovou stránkou a s konkrétním účtem. Jedná se tak o bezpečnostní prvek.
Právě taková aplikace by neměla taková data kamkoliv odesílat, jinak může dojít ke kompromitování bezpečnosti. Není jasné, jestli se jedná o záměrný podvod, ale rozhodně se jedná o nestandardní chování s velkým potenciálem bezpečnostního rizika. Aby toho nebylo málo, Mysk objevil velký výskyt aplikací, které se tváří jako běžné autentifikátory, ale při pokusu o naskenování QR kódu vyžadují platbu. Ta je navíc na pravidelné bázi. I toto je relativně nestandardní chování.
Zdroj: Mysk (se souhlasem)
Odhaduje se, že tento větší příliv pochybných aplikací je způsoben rozhodnutím společnosti Twitter, která odebírá u dvoufázového ověření SMS variantu. Ta bude dostupná jen pro platící uživatele. Zřejmě z tohoto důvodu se objevil větší zájem o aplikace typu autentifikátorů, čehož se snaží využít pochybní vývojáři.
Zde je nutné upozornit, že sám iOS systém má zabudovanou vlastní aplikaci. Kromě toho se nabízí již ověřené od Googlu, Applu a dalších společnost jako LastPass.
Zdroje: twitter.com, 9to5mac.com