在計算無處不在的時代，雙因子認證方式（2FA）可能不再安全！

設備間的應用同步是 2FA 的阿喀琉斯之踵

如他們所解釋，攻擊並不是由於軟體開發缺陷導致，而是由於 2FA 的設計缺陷導致的。現在有個概念叫做「計算無處不在」，讓應用和內容在設備之間可以同步，而如果攻擊者可以訪問受害者的 PC 就會讓 2FA 的保護失效。

由此，各種在線服務中的 2FA 認證機制的設計缺陷會讓攻擊者可以使用諸如 iTunes 或 Google Play 商店來將惡意應用推送到用戶的手機上，而不會觸發 2FA 認證系統，甚至可以在用戶手機的首屏上展示圖標。

當然，攻擊者首先得能將他的惡意應用通過 Google 和 Apple 的審查放到他們的應用商店，不過最近看起來這種情況已經比較常見了。

此外，這也需要攻擊者能夠完全訪問你的 PC，無論是可以直接接觸訪問，還是通過惡意軟體控制你的設備，以及偷竊了你的賬戶。

跨設備的應用同步本身並不是問題，問題是實現方式不對

無論如何，風險依然是存在的。研究人員稱，使用 2FA 的服務應該要非常注意在不同設備間的應用同步的實現方式。

在問及如何在 2FA 服務中修復這個問題，特別是對於使用這種服務的 Google 而言，研究人員說，最好的辦法是「將應用安裝過程（即提示用戶該應用的所需許可權的地方）放到手機上去，而不是將它們放到瀏覽器中」。

更多的細節，可以看看下述視頻：

以及可以參考兩位研究人員的論文：「計算無處不在如何幹掉了你的基於手機的雙因子認證」。

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive