Ini Penyebab 2FA Google Authenticator Diterobos Cerberus
Google Authenticator | Foto: ZDNet
Cyberthreat.id – Masih ingat dengan Cerberus?
Februari lalu, Cerberus mengagetkan dunia keamanan siber lantaran malware ini mampu mencuri kode otentikasi dua faktor (2FA) sekali pakai dari aplikasi Google Authenticator.
Malware tersebut ditemukan oleh para peneliti ThreatFabric, tapi sejauh ini belum terdeteksi apakah telah terjadi serangan siber yang menggunakan Cerberus.
Peneliti mengatakan, malware tersebut hibrida antara trojan perbankan dan trojan akses jarak jauh (RAT). Setelah pengguna Android terinfeksi, peretas akan menggunakan fitur malware trojan perbankan untuk mencuri kredensial aplikasi mobile banking, tulis ZDNet, Sabtu (7 Maret 2020).
Penemuan ThreatFabric terbilang sangat penting. Cerberus bukan hanya malware Android pertama yang mencuri kode 2FA sekali pakai, melainkan menggunakan teknik simpel, yaitu menangkap layar (capture sreen) antarmuka aplikasi Authenticator.
Berita Terkait:
- Malware Baru di Android Mencuri 2FA Google Authenticator
- 5 Aplikasi Autentikator untuk Amankan Akun Anda
- BCA Siapkan OTP Berbasis Aplikasi ala Google Authenticator
Namun, pekan ini Nightwatch Cybersecurity merilis hasil riset penyelidikannya terkait Cerberus. Menurut temuan peneliti, aplikasi Authenticator memiliki celah keamanan (bug), yaitu aplikasi lain dapat menangkap layar atas konten yang muncul di ponsel.
“Tampaknya Google Authenticator memungkinkan tangkapan layar untuk mengambil kode One Time assword (OTP),” tulis peneliti pada 4 Maret lalu.
Implikasinya dari tangkapan layar (screenshot) itu, kata peneliti, jika perangkat pengguna terinfeksi Cerberus, malware dapat menangkap semua kode OTP yang dihasilkan seperti yang ditunjukkan oleh aplikasi.
Untuk melindungi tangkapan layar tersebut, peneliti menyarankan agar Google menambahkan fitur “Flag_Secure” di konfigurasi aplikasi.
Flag_Secure adalah konfigurasi tambahan pada aplikasi berbasis Android yang bisa memblokir aplikasi lain menangkap layar dari ponsel pengguna.
Peneliti mengatakan, Google seharusnya memperbaiki masalah tersebut sejak awal Oktober 2014 ketika kesalahan konfigurasi ini pertama kali dilaporkan oleh seseorang di GitHub.
“Google Authenticationator dapat dikompromikan dengan menggunakan trojan dengan fungsi tangkapan layar. Harap nonaktifkan kemampuan untuk mengambil tangkapan layar dari antarmuka utama dari Google Authentificator,” tulis Thomas Habets pada postingannya di GitHub.
Pada 2017, peneliti Nightwatch juga pernah melaporkan temuan serupa seperti yang dilakukan Thomas Habets.
Namun, Google tidak pernah memberi tahu peneliti apakah bug-nya telah diperbaiki atau tidak. Dan, ternyata, hingga saat ini, setelah peneliti menguji kembali bug tersebut, Google masih belum memperbaikinya.
Di sisi lain, peneliti Nightwatch juga menemukan, aplikasi Microsoft Authenticator untuk Android juga menampilkan kesalahan konfigurasi yang sama: memungkinkan adanya penangkapan layar dari aplikasi lain.[]
Redaktur: Andi Nugroho
