Новини
Двухфакторную авторизацию можно обойти с помощью смартфона
Исследователи из Амстердамского свободного университета заявляют, что двухфакторную авторизацию можно обойти с помощью смартфона с Android или iOS.  Об этом пишет “Хакер”. Проблема кроется в автоматической синхронизации устройств, которую обеспечивают сервисы Google и Apple. Двухфакторная аутентификация требует подтверждать права доступа по двум независимым каналам. Чаще всего она выглядит так: сначала пользователь вводит пароль, а затем […]
Понеділок, 11 квітня 2016, 07:46

Исследователи из Амстердамского свободного университета заявляют, что двухфакторную авторизацию можно обойти с помощью смартфона с Android или iOS. 

Об этом пишет “Хакер”.

Проблема кроется в автоматической синхронизации устройств, которую обеспечивают сервисы Google и Apple.

Двухфакторная аутентификация требует подтверждать права доступа по двум независимым каналам. Чаще всего она выглядит так: сначала пользователь вводит пароль, а затем сообщает одноразовый код, полученный по SMS. Стоит отметить, что данный метод значительно надежнее, чем обычная проверка пароля.

Чтобы обойти двухфакторную аутентификацию, злоумышленнику нужно узнать пароль, а также оперативно перехватить одноразовый код доступа. Исследователи из Амстердамского университета утверждают, что современные мобильные платформы делают перехват SMS вполне реалистичным.

Стоит отметить, что атаки на пользователей iOS и Android существенно различаются. Тем не менее компьютер жертвы должен быть заражен специальным “трояном”.

Троян от имени жертвы обращается к Google Play и просит установить на ее смартфоны шпионское приложение. Google Play исполняет просьбу, не спрашивая у пользователя разрешения. После установки приложение вирус ждет SMS с кодом доступа. Получив SMS, оно тут же переправляет его на сервер злоумышленника.

Самое сложное тут — протащить шпиона в Google Play. Для этого исследователи разработали приложение, способное исполнять код из Интернета.

Победить iOS оказалось еще проще. В последние версии OS X и iOS встроена функция под названием Continuity. Она (среди прочего) позволяет читать SMS с айфона при помощи компьютера. Чтобы перехватить код доступа, трояну достаточно мониторить содержимое файла ~/Library/Messages/chat.db, куда попадают пришедшие SMS.

Стоит отметить, что данная уязвимость была обнаружена еще в 2014 году. Исследователи немедленно сообщили о ней Google и другим сервисам, которые используют двухфакторную аутентификацию.

ЧИТАЙТЕ ТАКЖЕ: Apple помогала американским властям взламывать iPhone с 2008 года, – СМИ

Теги: Google Play, iOS, Android, SMS, Троян

Межа у Telegram

Підписатись