Исследователи из Амстердамского свободного университета заявляют, что двухфакторную авторизацию можно обойти с помощью смартфона с Android или iOS.
Об этом пишет “Хакер”.
Проблема кроется в автоматической синхронизации устройств, которую обеспечивают сервисы Google и Apple.
Двухфакторная аутентификация требует подтверждать права доступа по двум независимым каналам. Чаще всего она выглядит так: сначала пользователь вводит пароль, а затем сообщает одноразовый код, полученный по SMS. Стоит отметить, что данный метод значительно надежнее, чем обычная проверка пароля.
Чтобы обойти двухфакторную аутентификацию, злоумышленнику нужно узнать пароль, а также оперативно перехватить одноразовый код доступа. Исследователи из Амстердамского университета утверждают, что современные мобильные платформы делают перехват SMS вполне реалистичным.
Стоит отметить, что атаки на пользователей iOS и Android существенно различаются. Тем не менее компьютер жертвы должен быть заражен специальным “трояном”.
Троян от имени жертвы обращается к Google Play и просит установить на ее смартфоны шпионское приложение. Google Play исполняет просьбу, не спрашивая у пользователя разрешения. После установки приложение вирус ждет SMS с кодом доступа. Получив SMS, оно тут же переправляет его на сервер злоумышленника.
Самое сложное тут — протащить шпиона в Google Play. Для этого исследователи разработали приложение, способное исполнять код из Интернета.
Победить iOS оказалось еще проще. В последние версии OS X и iOS встроена функция под названием Continuity. Она (среди прочего) позволяет читать SMS с айфона при помощи компьютера. Чтобы перехватить код доступа, трояну достаточно мониторить содержимое файла ~/Library/Messages/chat.db, куда попадают пришедшие SMS.
Стоит отметить, что данная уязвимость была обнаружена еще в 2014 году. Исследователи немедленно сообщили о ней Google и другим сервисам, которые используют двухфакторную аутентификацию.
ЧИТАЙТЕ ТАКЖЕ: Apple помогала американским властям взламывать iPhone с 2008 года, – СМИ