在计算无处不在的时代，双因子认证方式（2FA）可能不再安全！

设备间的应用同步是 2FA 的阿喀琉斯之踵

如他们所解释，攻击并不是由于软件开发缺陷导致，而是由于 2FA 的设计缺陷导致的。现在有个概念叫做“计算无处不在”，让应用和内容在设备之间可以同步，而如果攻击者可以访问受害者的 PC 就会让 2FA 的保护失效。

由此，各种在线服务中的 2FA 认证机制的设计缺陷会让攻击者可以使用诸如 iTunes 或 Google Play 商店来将恶意应用推送到用户的手机上，而不会触发 2FA 认证系统，甚至可以在用户手机的首屏上展示图标。

当然，攻击者首先得能将他的恶意应用通过 Google 和 Apple 的审查放到他们的应用商店，不过最近看起来这种情况已经比较常见了。

此外，这也需要攻击者能够完全访问你的 PC，无论是可以直接接触访问，还是通过恶意软件控制你的设备，以及偷窃了你的账户。

跨设备的应用同步本身并不是问题，问题是实现方式不对

无论如何，风险依然是存在的。研究人员称，使用 2FA 的服务应该要非常注意在不同设备间的应用同步的实现方式。

在问及如何在 2FA 服务中修复这个问题，特别是对于使用这种服务的 Google 而言，研究人员说，最好的办法是“将应用安装过程（即提示用户该应用的所需权限的地方）放到手机上去，而不是将它们放到浏览器中”。

更多的细节，可以看看下述视频：

以及可以参考两位研究人员的论文：“计算无处不在如何干掉了你的基于手机的双因子认证”。

本文转载来自 Linux 中国: https://github.com/Linux-CN/archive