研究人员发现三大公司的2FA短信验证机制存漏洞

2016年07月18日 17:08 次阅读 稿源:cnBeta.COM 条评论

比利时安全信息研究员Arne Swinnen报告在Instagram(Facebook),谷歌和微软产品中,发现了一个共同的利用2FA验证机制缺陷的验证服务的漏洞。这些公司部署的2FA验证机制 可通过短信的形式发送短验证码,同时也可以使用人工语音通话读出验证码的形式验证,Swinnen发现的漏洞则利用了后一种验证方式的缺陷。

http://static.cnbetacdn.com/article/2016/0718/2746a61d6d3d0f7.png

这些语音通话通常将那些特定用户的电话号码和用户账号紧密互绑,Swinnen理论上可以利用此漏洞向这些服务的用户账户发动攻击,在实验中他发现Instagram,谷歌和微软Office 365账户使用相同的验证机制因此攻击可以在三方账户内同时奏效。

随后他将任一账户与高级电话号码绑定,而非普通电话号码,当三个账号服务中任一向用户发送访问验证码时,由于使用高级号码的SMS可通过注册通话并向来电公司收取话费。攻击者可以通过创建虚假的Instagram账号、谷歌或微软账号,并捆绑至一个高级电话服务(premium phone service)。通过互相指向和捆绑获取话费利润,使用自动脚本提高效率后,研究员估计以为攻击者可以为所有账号同时大量地发送2FA验证请求,根据合法的话费收取获得大量的利润。他预计如果使用得当,攻击者一年可通过此项攻击从Instagram服务中获得206.6万英镑的收入,谷歌43.2万英镑,微软66.0万英镑。

研究人员在博客中阐述了漏洞的细节,并向微软谷歌和facebook报告了相应的漏洞,获得了Facebook 2000美元的奖励,微软500美元的奖励,谷歌更是在公司的名人堂中刻上了他的名字。

活动入口:

走进Verisign - 互联网根服务器的管理者/.com的守护者

对文章打分

研究人员发现三大公司的2FA短信验证机制存漏洞

1 (33%)
已有 条意见

    最新资讯

    加载中...

    今日最热

    加载中...

    热门评论

      Top 10

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan