Приложения для аутентификации, такие как Authy и Google Authenticator, помогают пользователям добавить второй уровень безопасности к своей учетной записи, предотвращая доступ злоумышленников к их личной информации и данным.
На прошлой неделе Twitter объявил, что вскоре прекратит доступ к двухфакторной аутентификации (2FA) на основе SMS для пользователей, которые не подписаны на сервис Twitter Blue. Разработчики теперь начали наводнять магазин приложениями для аутентификации, которые просят пользователей заплатить абонентскую плату, прежде чем они смогут добавлять какие-либо учетные записи.
Компания по обеспечению безопасности Mysk утверждает, что есть несколько похожих на вид приложений-аутентификаторов, которые недавно были опубликованы в App Store. В отличие от Authy и Google Authenticator, которые позволяют пользователям сканировать QR-коды для настройки 2FA в своих учетных записях, эти приложения сначала требуют от пользователей подписку на бесплатную пробную версию, которая преобразуется в подписку по цене до 40 долларов в год. Gadgets 360 удалось подтвердить, что некоторые из этих приложений с годовой подпиской в настоящее время доступны в App Store.
В отдельном твите компания также предупреждает, что по крайней мере одно из этих приложений-аутентификаторов проводит рекламную кампанию в App Store, а скриншот показывает, что это первое приложение, которое отображается при поиске «аутентификатора». По словам Mysk, это приложение отправляет содержимое отсканированного QR-кода в службу Google Analytics разработчика. Это может привести к утечке кодов двухфакторной аутентификации пользователей.
Запись экрана, которой поделился Mysk, показывает несколько похожих приложений с очень схожими интерфейсами. Разработчик Кевин Арчер утверждает, что эти приложения выпускаются с другими наборами метаданных в новых учетных записях и, похоже, обходят правила, применяемые командой проверки приложений, включая правило 5.6.3 (Обнаружение мошенничества).
Согласно снимку экрана, опубликованному компанией, многие приложения были выпущены на прошлой неделе, то есть примерно в то же время, когда Twitter , который недавно был куплен Илоном Маском, объявил об отказе от поддержки двухфакторной аутентификации на основе SMS для пользователей, которые не подписаны на его службу Twitter Blue. Пользователи, настроившие свои учетные записи для получения кодов входа по SMS, должны до марта отключить их и настроить сторонние приложения 2FA или аппаратные ключи безопасности для безопасного входа в свои учетные записи.
Существование этих приложений в App Store означает, что пользователи, которые хотят загрузить приложения 2FA в App Store, могут в конечном итоге загрузить одно из этих приложений, поставив под угрозу свою безопасность. Такие приложения, как Google Authenticator, Authy, Aegis Authenticator (Android) и Microsoft Authenticator, представляют собой безопасные и надежные варианты от авторитетных компаний, которые можно использовать для хранения токенов аутентификации 2FA.