Linux中國

在計算無處不在的時代,雙因子認證方式(2FA)可能不再安全!

設備間的應用同步是 2FA 的阿喀琉斯之踵

如他們所解釋,攻擊並不是由於軟體開發缺陷導致,而是由於 2FA 的設計缺陷導致的。現在有個概念叫做「計算無處不在」,讓應用和內容在設備之間可以同步,而如果攻擊者可以訪問受害者的 PC 就會讓 2FA 的保護失效。

由此,各種在線服務中的 2FA 認證機制的設計缺陷會讓攻擊者可以使用諸如 iTunes 或 Google Play 商店來將惡意應用推送到用戶的手機上,而不會觸發 2FA 認證系統,甚至可以在用戶手機的首屏上展示圖標。

當然,攻擊者首先得能將他的惡意應用通過 Google 和 Apple 的審查放到他們的應用商店,不過最近看起來這種情況已經比較常見了。

此外,這也需要攻擊者能夠完全訪問你的 PC,無論是可以直接接觸訪問,還是通過惡意軟體控制你的設備,以及偷竊了你的賬戶。

跨設備的應用同步本身並不是問題,問題是實現方式不對

無論如何,風險依然是存在的。研究人員稱,使用 2FA 的服務應該要非常注意在不同設備間的應用同步的實現方式。

在問及如何在 2FA 服務中修復這個問題,特別是對於使用這種服務的 Google 而言,研究人員說,最好的辦法是「將應用安裝過程(即提示用戶該應用的所需許可權的地方)放到手機上去,而不是將它們放到瀏覽器中」。

更多的細節,可以看看下述視頻:

以及可以參考兩位研究人員的論文:「計算無處不在如何幹掉了你的基於手機的雙因子認證」。


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的電子郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國