<p>Google OTP : 2FA 코드에 쉽게 액세스 할 수 있습니다</p><p>Google Authenticator, Microsoft Authenticator 및 2 단계 인증을위한 기타 여러 앱은 스크린 샷을 보호하지 않습니다. 악성 코드는 이미 이것을 활용해야합니다.</p><p>Google은 지금까지 널리 사용되는 2 단계 인증 앱에 대한 기본 보호 기능을 구현하지 못했습니다. 스크린 샷은 Google OTP 앱에서 가져올 수 있습니다. 다른 앱은이를 사용하여 6 자리 또는 8 자리 TOTP 코드를 기록하여 2 단계 인증을 우회 할 수 있습니다. 멀웨어는 이미이 문제를 악용하고 있으며 이미 2014 년에 발생한 것으로 알려져 있습니다.</p><p>FLAG_SECURE 옵션을 사용하면 Android 앱 에서 스크린 샷 을 찍을 수 없습니다 . 2014 년 과 2016 년 이후 GitHub 에는 Google OTP의 보안 기능을 상기시키는 티켓 이 있습니다 . 보안 회사 Nightwatch는 2017 년 에이 문제를 다시 보고하고 버그 현상금을 받았다고 주장합니다. 그러나 문제는 지속되었습니다.</p><p>Microsoft Authenticator에도 동일한 문제가 있습니다<br>2018 년 보안 회사는 Microsoft Authenticator 앱에서 동일한 문제 를 Microsoft에 지적했습니다 . 편집실에서 간단한 테스트를 통해 Microsoft Authenticator와 Google Authenticator의 스크린 샷을 찍을 수있었습니다. Star Citizen 게임의 RSI 인증 자와 게임 플랫폼 Steam의 Steam Guard도 스크린 샷을 만들 수있었습니다. 그러나 앱과 OTP는 보안 설정을 사용했으며 스크린 샷을 허용하지 않았습니다.</p><p>온라인 잡지 ZD-Net 의 보고서에 따르면 Cerberus Trojan은 스크린 샷 기능을 사용하여 Google OTP의 TOTP 코드를 탭합니다. 그러나이 기능은 아직 개발 중이며 아직 활발하게 사용되고 있지 않습니다. 이에 따르면 공격자는 맬웨어를 사용하여 피해자의 스마트 폰 (원격 액세스 도구, RAT)에 직접 액세스하고 Google OTP를 열고 스크린 샷을 찍어 명령 및 제어 서버로 보낼 수 있습니다. 그런 다음 코드는 30 초마다 변경되므로 코드를 즉시 사용해야합니다. 서버 구성에 따라 서버는 현재, 과거 또는 미래 코드를 승인합니다.<br></p>
<!-- -->
