雙因子認證Two-Factor Authentication(2FA)是一種生物識別技術,是保護用戶在線數據的最強大的方法之一。兩位阿姆斯特丹大學的研究人員最新發現了一種新的攻擊方式,可以利用這種認證方式的設計缺陷讓用戶暴露在攻擊風險之中。
兩位研究人員 Radhesh Krishnan Konoth 和 Victor van der Even 說他們在 2014 年就發現了這個缺陷,已經警告了 Google 和其它的在線服務商,甚至還將他們的發現展示給了一些銀行,但是沒有人在意。
這兩位研究人員解釋說,因為到現在為止他們還沒有公開具體細節,所以許多人認為這個漏洞並不危險,不值得注意。但是他們有不同的看法。
設備間的應用同步是 2FA 的阿喀琉斯之踵
如他們所解釋,攻擊並不是由於軟體開發缺陷導致,而是由於 2FA 的設計缺陷導致的。現在有個概念叫做「計算無處不在」,讓應用和內容在設備之間可以同步,而如果攻擊者可以訪問受害者的 PC 就會讓 2FA 的保護失效。
由此,各種在線服務中的 2FA 認證機制的設計缺陷會讓攻擊者可以使用諸如 iTunes 或 Google Play 商店來將惡意應用推送到用戶的手機上,而不會觸發 2FA 認證系統,甚至可以在用戶手機的首屏上展示圖標。
當然,攻擊者首先得能將他的惡意應用通過 Google 和 Apple 的審查放到他們的應用商店,不過最近看起來這種情況已經比較常見了。
此外,這也需要攻擊者能夠完全訪問你的 PC,無論是可以直接接觸訪問,還是通過惡意軟體控制你的設備,以及偷竊了你的帳戶。
跨設備的應用同步本身並不是問題,問題是實現方式不對
無論如何,風險依然是存在的。研究人員稱,使用 2FA 的服務應該要非常注意在不同設備間的應用同步的實現方式。
在問及如何在 2FA 服務中修復這個問題,特別是對於使用這種服務的 Google 而言,研究人員說,最好的辦法是「將應用安裝過程(即提示用戶該應用的所需權限的地方)放到手機上去,而不是將它們放到瀏覽器中」。
更多的細節,可以看看下述視頻:
此處應有視頻,地址: https://dn-linuxcn.qbox.me/static%2Fvideo%2FHow%20Google%20killed%20two-factor%20authentication%20(by%20Victor%20van%20der%20Veen)-7WiE0cpsxv4.mp4以及可以參考兩位研究人員的論文:「計算無處不在如何幹掉了你的基於手機的雙因子認證[1]」。
[1]: http://fc16.ifca.ai/preproceedings/24_Konoth.pdf
推薦文章
將文章分享給朋友是對我們最好的讚賞!