Двухфакторная аутентификация уязвима для новой атаки

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
5,010
Баллы
743


Исследователи из Амстердамского свободного университета обнаружили, что двухфакторную аутентификацию можно обойти, если у жертвы есть смартфон с Android или iOS. Проблема кроется в автоматической синхронизации устройств, которую обеспечивают сервисы Google и Apple.

Двухфакторная аутентификация требует подтверждать права доступа по двум независимым каналам. Чаще всего она выглядит так: сначала пользователь вводит пароль, а затем сообщает одноразовый код, полученный по SMS. Такой метод заметно надёжнее, чем обычная проверка пароля.

Чтобы обойти двухфакторную аутентификацию, злоумышленнику нужно не только узнать пароль, но и оперативно перехватить одноразовый код доступа. Исследователи из Нидерландов обнаружили, что удобства, которые современные мобильные платформы предоставляют своим пользователям, делают перехват SMS вполне реалистичной задачей.

Атаки на пользователей iOS и Android, которые они предложили, существенно различаются, но и в том, и в другом случае компьютер жертвы должен быть заражён специальным трояном, пишет xakep.ru.

Троян, который атакует пользователей Android, от имени жертвы обращается к Google Play и просит установить на её смартфоны шпионское приложение. Google Play молча повинуется, даже не спрашивая у пользователя разрешения. После установки приложение тихонько ждёт SMS с кодом доступа. Получив SMS, оно тут же переправляет его на сервер злоумышленника.







Самое сложное тут — протащить шпиона в Google Play. Для этого исследователи разработали приложение, способное исполнять код из интернета. Все вредоносные функции были реализованы на Javascript, загружаемом с их сервера. Запросы с адресов, принадлежащих Google, сервер игнорировал. Такого трюка хватило для того, чтобы обмануть гугловских цензоров.

Победить iOS оказалось ещё проще. В последние версии OS X и iOS встроена функция под названием Continuity. Она, среди прочего, позволяет читать SMS с айфона при помощи компьютера. Чтобы перехватить код доступа, трояну достаточно мониторить содержимое файла ~/Library/Messages/chat.db, куда попадают пришедшие SMS.

Эта уязвимость была найдена ещё в 2014 году. Исследователи немедленно сообщили о ней Google и другим онлайновым сервисам, использующим двухфакторную аутентификацию, а также провели серию презентаций для банков. Ни одна компания не отреагировала на предупреждение.
источник
 

machito

Android Unlok
Команда форума
Супер-Модератор
Сообщения
2,197
Реакции
2,071
Баллы
503
Атаки на пользователей iOS и Android, которые они предложили, существенно различаются, но и в том, и в другом случае компьютер жертвы должен быть заражён специальным трояном
Тут как то пришло оповещение о попытке взлома gmail... зашел по горячим следам сменил пароль и прикрутил аутентификацию для надежности, всё ж спокойнее :Sarcastic:
 
E

Egorest

странно должно было придти смс что ваша аккаунт заходили или взломали почему не пришло смс вот это странно очень
 

machito

Android Unlok
Команда форума
Супер-Модератор
Сообщения
2,197
Реакции
2,071
Баллы
503
странно должно было придти смс что ваша аккаунт заходили или взломали почему не пришло смс вот это странно очень
после такого оповещения подключил смс
 
E

Egorest

это хорошо я же давно пользуюсь двух кратной идентификаций и пока не каких проблем пару раз кто то пытался взломать мой аккаунт но потом понял что без полезно его ломать
 

AndreyXpV7

Активный пользователь
Сообщения
63
Реакции
34
Баллы
188
Троян, который атакует пользователей Android, от имени жертвы обращается к Google Play и просит установить на её смартфоны шпионское приложение. Google Play молча повинуется, даже не спрашивая у пользователя разрешения. После установки приложение тихонько ждёт SMS с кодом доступа. Получив SMS, оно тут же переправляет его на сервер злоумышленника.
А я для целей двухфакторной аутентификации использую обычный мобильный телефон без доступа в Интернет, а не смартфон: только звонки и SMS, ничего лишнего.:Biggrin:
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
5,010
Баллы
743
AndreyXpV7, верной дорогой идёте товарищ...нам с вами по пути :Smile:
 
Сверху Снизу