Bösartige Authenticator-Apps, die potenziell Daten stehlen oder inkompetent programmiert wurden, finden sich nicht nur in Apples App-Store, sondern auch in Google Play. Nachdem vergangene Woche die Malware-artigen Authenticator-Apps im App-Store bekannt wurden, warnen die App-Entwickler jetzt auch vor schädlichen Android-App-Versionen. Authenticator-Apps dienen der einfachen und kostengünstigen Zwei-Faktor-Authentifizierung. Damit lassen sich Transaktionen bestätigen oder auch der Zugriff auf Dienste mit neuen Geräten, Apps sowie Webbrowsern. Die Grundidee dahinter ist, dass Passwort- oder Zugangsdatendiebe mit den erbeuteten Daten nichts anfangen können, sofern sie mit dem zweiten Faktor nicht bestätigen, dass sie tatsächlich Kontoinhaber sind. Der zweite Faktor kann eine Zeichenfolge sein, die der Dienst etwa per E-Mail oder SMS verschickt oder eben aus der Authenticator-App kommt. Solche Authenticator-Apps bieten große Unternehmen wie Apple oder Google kostenlos an. Apple liefert das gleich im iCloud-Schlüsselbund mit, Google bietet die namentlich wenig überraschende App Google Authenticator an. Auch Microsoft hat einen Authenticator im Portfolio. Potenzielle Nutzer scheinen sich jedoch nicht auf die großen Konzerne verlassen zu wollen oder befürchten, ihnen zu viele Daten durch die Nutzung ihres Authenticators auszuliefern. Im App Store und in Google Play gibt es daher zahlreiche Drittanbieter-Apps, die Authenticator-Dienste anbieten. Die iOS-Entwickler, die bereits die Apps im App Store untersucht und gemeldet haben, warnen jetzt auch vor bösartigen Authenticator-Apps im Google Play Store. Eine derartige App mit mehr als 500.000 Installationen sendet demzufolge den eingescannten QR-Code für den initialen Seed an einen entfernten Server. Was zunächst harmlos klingt, ermöglicht den Empfängern dieser Informationen, einen Authenticator zu initialisieren und damit den korrekten zweiten Faktor für ein Konto des Opfers zu erstellen und anzugeben. Damit wird der Zwei-Faktor-Schutz faktisch ausgehebelt. Angreifer können so weitreichenden Zugang auf Konten der Opfer erlangen. Bei dem Seed handelt es sich um das „Geheimnis“ hinter dem Einmal-Passwort-Generator (TOTP, Time-based One-Time Password). Aus dem Geheimnis wird zusammen mit der seit 1970 vergangenen Zeitspanne alle 30 Sekunden das Einmal-Passwort als zweiter Faktor berechnet. Aus dem aktuell errechneten Passwort lässt sich weder ein vorhergehendes, noch ein nachfolgendes ableiten, dies gelingt nur mit dem Seed. Daher sollte es nach dem initialen Abgleich mit dem zu sichernden Dienst niemals den Rechner verlassen. Apps sollten davon auch keine Backups erstellen, die andere dann wieder lesen könnten. Wer solch eine zwielichtige Authenticator-App einsetzt, sollte diese umgehend deinstallieren. Anschließend sollten alle Zwei-Faktor-Seeds der Konten zurückgesetzt und etwa mit einer App eines namhaften und als seriös einzustufenden Anbieters neu initialisiert werden.