Eine Authenticator App ist eine beliebte Methode, um die Sicherheit bei Online-Diensten zu erhöhen. In Zeiten, in denen ein Passwort allein nicht mehr ausreicht, soll die Zwei-Faktor-Authentifizierung die notwendige Sicherheit bringen. Doch auch eine Authenticator App schützt nicht zu 100 Prozent.
Was steckt hinter der neuen Sicherheitslücke? Wie schützt ihr euch? Alle Infos bei uns.
Fast jede Authenticator App mit klaffender Sicherheitslücke
Egal ob ihr den Google Authenticator, den Microsoft Authenticator oder andere Authenticator Apps (auch: Authenticator-Apps) nutzt: Nahezu jede dieser Apps, die eure Sicherheit verbessern sollen, hat eine gravierende Sicherheitslücke inne. Google, Microsoft und Co. haben es bislang nämlich versäumt, eine Sperre einzurichten, mit der ihr Screenshots in eurer App erstellen könnt.
Schadsoftware kann diese Sicherheitslücke ausnutzen und Aufnahmen der sechs- oder achtstelligen TOTP-Codes erstellen, um die Zwei-Faktor-Authentifizierung zu umgehen. Das Perfide daran: Bei Google ist die Sicherheitslücke bereits seit 2014 bekannt.
Fraglich ist, wieso gerade Google das Problem nicht schon lange behoben hat, denn über eine bestimmte Funktion können Android-Apps das Erstellen von Screenshots verhindern. Und auf GitHub wurde die Lücke im Authenticator bereits 2014, 2016 und 2017 angemahnt. Das Problem besteht jedoch weiterhin.
Genauso wie Google bekleckert sich auch der Microsoft Authenticator nicht mit Ruhm, ebenso wenig der RSI Authenticator der Spieleplattform Steam. Lediglich die App OTP verhindert Screenshots.
Der Google Authenticator ist eine Authenticator App, die von der Sicherheitslücke betroffen ist. Bild: Screenshot Google
Zwei-Faktor-Authentifizierung mit Authenticator App
Aber was genau ist die Zwei-Faktor-Authentifizierung (kurz 2FA) noch einmal und warum erfreut sie sich so großer Beliebtheit? Kurz gesagt: Weil damit Hackern das Leben erschwert wird. Wollen sich diese nämlich Zugang zu euren genutzten Online-Diensten verschaffen, benötigen sie nicht mehr nur euren Benutzernamen und euer Passwort. Beim 2FA-Verfahren gesellt sich eine weitere Sicherheitsprüfung hinzu, damit ihr euch als Nutzer authentifiziert. Stimmt einer der beiden Faktoren nicht, bleibt der Zugang gesperrt. Übrigens: Wie ihr euer Handy zum Sicherheitsschlüssel macht, könnt ihr ebenfalls bei uns lesen.
Über die Zwei-Faktor-Authentifizierung seid ihr vermutlich bereits gestolpert, wenn ihr Online-Banking nutzt. Dort habt ihr einen Benutzernamen, aber sicher benötigt ihr noch einen Token (zum Beispiel euer Smartphone), um euch einloggen zu können. Meldet ihr euch online an, bekommt ihr in der Regel eine SMS zugeschickt, in der ein Zahlencode enthalten ist. Gebt ihr ihn online ein, habt ihr euch erfolgreich authentifiziert.
Eine Alternative zur SMS ist eine sogenannte Authenticator-App. Auch sie stellt Zugangscodes bereit, ist aber im Gegensatz zur SMS kostenlos.
Wie wird die Sicherheitslücke ausgenutzt?
Die 2FA-Sicherheitslücke wird durch den Trojaner Cerberus ausgenutzt. Dieser ermächtigt sich der Screenshot-Funktion, um die sechs- oder achtstelligen TOTP-Codes abzugreifen, die in der Authentificator App erstellt werden. Mit den erbeuteten Codes können sich die Hacker nun über euer Konto anmelden. Der Trojaner Cerberus bringt damit das angeblich wasserdichte 2FA-Verfahren in Verruf – und knackt es über einen spielend einfachen Weg mit Screenshots.
Bevor ihr jetzt aber in Panik verfallt: Der Trojaner Cerberus muss erst einmal auf euer Smartphone kommen. Und wir erzählen euch ja nichts Neues, wenn wir euch sagen, dass ihr selbst entscheidend euer Schicksal mitbestimmen könnt. Denn Trojaner, Würmer und Co. können mit einem guten Virenschutz weitestgehend von eurem Smartphone verbannt werden.
Das Smartphone ist ein beliebter Weg für 2FA. Mit einer Authenticator App ist die eher beschwerliche Anmeldung auch schnell erledigt, aber leider birgt sie Gefahren. Bild: Unsplash/William Iven
Dein Mittel gegen Trojaner und Co: dein PC-SPEZIALIST
Hattet ihr gehofft, mit der Zwei-Faktor-Authentifizierung im Netz endlich sicherer unterwegs zu sein? Leider zeigt diese Sicherheitslücke wieder einmal aufs Neue, dass auch fortschrittliche Verfahren euch nicht komplett vor Phishing-Angriffen bewahren.
Ihr müsst jedoch nicht untätig sein. Engagiert doch einfach einen Spezialisten, der sich darum kümmert, dass sich auf eurem Smartphone, Computer oder Tablet kein fieser Trojaner eingeschlichen hat, der in eurem Namen schaltet und waltet!
Euer PC-SPEZIALIST vor Ort ist euer Ansprechpartner in allen Belangen rund um die IT. Und dabei hört der Service nicht beim Schutz vor Bedrohungen aus dem Internet auf! Vielleicht möchtet ihr auch Hardware-Teile an deinem PC austauschen oder ihn generell einmal auf Vordermann bringen lassen. Möglicherweise benötigt ihr aber gleich ein neues Gerät, eine professionelle Beratung und die Datenübertragung vom alten auf das neue Gerät? Auch das bietet euch der PC-SPEZIALIST vor Ort. Und wenn ihr euren PC einfach rundum sorglos nutzen wollt, empfehlen wir das Eins-für-Alles-Paket.
Mein Facebook-Account wurde gehackt & ich kann auch auch nicht mehr über den Authenticator auf Instagram zugreifen, da dieser auf dem alten Handy war. Bestätigungs-Codes via Email oder Telefon erhalte ich auch nicht mehr. Ich komme einfach nicht weiter & bin am verzweifeln!
Ich kann nicht mehr auf meinen Business-Account zugreifen, welchen ich dringend benötige!
Bitte dringend um Hilfe!
Hallo Tina!
Hier hilft nur die direkte Kontaktaufnahme zu Facebook. Einen anderen Rat haben wir leider auch nicht.
Viele Grüße
Ihr PC-SPEZIALIST-Team