Одноразовые пароли - один из наиболее распространенных способов аутентификации в сети. Их использует подавляющее большинство интернет-сервисов. По мнению руководителя группы исследований безопасности мобильных приложений Positive Technologies Николая Анисеня, удаление таких паролей - еще один шаг в сторону повышения безопасности пользователей.
"Существуют ошибки в реализации механизма двухфакторной аутентификации, которые позволяют повторно использовать одноразовый пароль. Помимо этого, некоторые сервисы позволяют пользователю войти в аккаунт с использованием короткого кода из смс, время действия которого может быть не ограничено. При заражении телефона вредоносным ПО эти коды могут стать достоянием мошенников", - отметил эксперт.
Тимурбулат Султангалиев, директор практики информационной безопасности компании AT Consulting (входит в Лигу Цифровой Экономики), считает, что своевременное удаление или ограничение времени действия одноразовых паролей позволит защитить пользователя от кражи его учетных данных. "Хранение таких паролей может привести к появлению возможности для злоумышленника обойти двухфакторную аутентификацию и получить доступ к учетным записям пользователя телефона", - заявил он.
"Если рабочая станция или мобильное устройство скомпрометированы и злоумышленник активно шпионит за всем, что происходит на экране, читает SMS, то ему не составит труда перехватить доступ к учетной записи, - считает Алексей Белоглазов, технический эксперт по защите от кибер-атак в Восточной Европе и на Ближнем Востоке Check Point Software Technologies. - Мы отмечаем, что сегодня перехват SMS на мобильных устройствах стал стандартной функцией большинства банковских троянов. Совсем недавно наше подразделение раскрыло деятельность иранской группировки, осуществлявшей кибершпионаж и перехват одноразовых паролей с устройств на Android".
По мнению эксперта, этот случай еще раз подтверждает важность обеспечения мобильной безопасности. "Кроме того, мы видим случаи, когда злоумышленники успешно перехватывали как логин-пароль, так и второй фактор - одноразовый код - с помощью хорошо подготовленных фишинговых сайтов. Чтобы этого избежать, необходимо использовать технические решения для защиты от фишинга и верификацию достоверности всех страниц авторизации, включая свойства сертификата веб-сервера. Перехват учетных записей еще более опасен, если он затрагивает корпоративные облачные сервисы, такие как Office 365 или администрирование Azure, AWS, Google Cloud и др. Устройства доступа к подобным сервисам требуют повышенной защиты", - уверен Белоглазов.
Как отмечает издание, функция не будет активирована автоматически и ее можно включить по желанию. Приложение "Сообщения" от Google является одним из наиболее популярных способов обмена текстовыми сообщениями на операционной системе Android - например, в этом году китайская Xiaomi отказалась от собственного приложения для сообщений в пользу разработки от Google.