黑客是如何利用镜像山寨APP来窥探你的验证短信－－破防双因素验证安全机制

hgaox

现在大家都普遍认识到仅仅用户名和密码是不能够保证网络安全的。

最近的一项研究显示80%的黑客攻击是因为缺乏足够安全的账户和密码而导致的，仅仅在2016年就有高达30亿份的账户名和密码被窃取。

双因素验证－－对相对孱弱的系统添加了额外安全验证－－变成了必备机制

双因素验证极大的提高了网络安全性，有数据显示使用双因素验证的用户阻止了高达99.9%网络攻击。

就像其他网络安全机制一样，攻击者很快的找到了规避此安全机制的漏洞，特别是在发送给用户的一次性短信验证码机制。

澳洲很多重要的在线服务依然使用基于短信的一次性验证码，包括mygov和四大银行：澳纽银行 英联邦银行 国民银行和三毛银行（西太银行）


短信验证码有什么问题？

行业巨头微软敦促用户放弃短信和语音播报作为双因素验证机制，这是因为基于短信的验证机制是臭名昭著的弱安全易侵性，非常容易导致入侵。

比如 短信冒名顶替（SMS swapping）是攻击者说服受害者的移动服务供应商,冒名顶替，然后把受害者的手机服务切换到攻击者的设备上面去。

基于短信的一次性验证码也同时被业已存在的攻击工具Modlishka所破防，它是利用反向代理来实现攻击的。渗透进受害者和服务提供商之间通信，利用冒仿达成破防和攻击。

在Modlishka攻击中，它会拦截真正的移动服务提供商和受害者之间的通信，追踪和记录受害者与服务提供商之间的信息传输，包括任何的账户信息。

除了以上提及的这些漏洞，我们的团队发现更多基于短信的双因素验证漏洞。其中的一个是攻击者利用google play store的一个漏洞自动从网页安装APPs到用户的安卓系统。

如果攻击者获取了你的账户信息然后在笔记本上面登录了你的Google play账户（尽管你会即时收到登录通知），攻击者一样可以把他们喜欢的任意APPs自动安装到你的智能手机。


安卓设备上面的工具

我们的测试表明恶意攻击者可以利用常见的APPs（为了安全的原因不会透露名称和类型）花费很少的功夫就可以远程拦截用户的短信验证码，这些APPs是设计用来跨设备同步用户通知的。

特别的，攻击者可以利用泄露的邮箱和密码组合来进入Google的帐户，恶意性的通过Google Play安装短信镜像APP到用户的智能手机。

这是真实普遍存在的案例自从用户使用相同的账号和密码登录一系列网络服务。使用密码管理软件是一个有效的提升安全的手段。

一旦恶意软件被安装到你的设备，攻击者可以利用简单的社会工程学技巧说服用户授权APP所需的权限让其工作正常。

比如他们可以伪装成一个真正的服务提供商说服用户给予恶意APP恰当的权限。一旦成功，攻击者就可以远程的接收受害者收到所有短信服务。

尽管前述的攻击要想达成必须满足一系列的条件，仍然信服的说明了基于短息的双因素验证机制的天然脆弱性。

更重要的是，此类攻击不需要高深的网络黑客攻击技术。只需要简单的找到和会使用此类APPs，然后利用简单的社会工程找到一个受害者。

威胁变得更加现实，如果攻击者是受害者信任的人。接入用户的智能设备更加的自然而然。


有其他的解决方案吗？


为了保护线上的账号，你应该检查一下你的系统是否安全。首先，看一下你的密码是否属于被泄露的一类。有很多的安全软件可以帮助你查找是否密码被泄露。同时确保使用精心构造的复杂密码。

我们同时建议您减少基于短信的双因素验证，如果您可以做到。您应该使用本地离线的基于APP的一次性密码双因素验证。比如Google Authenticator。此种方式，密码是在您本地离线的设备上利用Google Authenticator计算产生的。而不是通过网络发送给您。

但是，此种双因素验证也会被黑客利用精心设计的恶意软件所攻击。更好的验证方式是利用精心设计的硬件设备比如Yubikey来作为双因素验证。






此类的小型USB硬件（或者兼有近场通信NFC功能的）可以无缝式的在不同设备间提供双因素验证。

此类的硬件设备需要被物理插入设备或者近接设备来提供验证，因此减少了类似可见可读一次性验证码暴露的风险，比如短信发送的验证码。

必须强调的是:任何双因素验证机制潜在的影响条件是用户必须积极的具有某种程度参与和安全意识。

同时，未来的改进必须由来自服务提供商，开发者和研究人员共同研发出用户界面更友好 更安全的多因素验证机制。

本质上，新的验证方法必须超越双因素验证进化为多因素验证框架，多重因素验证同时起作用和部署。

作者简介：Syed Wajid Ali Shah 是Deakin迪肯大学网络安全研究所的研究员，Jongkil Jay Jeong是CSRI网络安全研究员， Robin Doss是CSRI的研究总监. 原文发表于 The Conversation

https://amp.abc.net.au/article/100381366

Brucehome

发错版块了吧

hgaox

Brucehome 发表于 2021-8-18 14:24
发错版块了吧

没错吧？澳广的新闻出处 里面也有澳洲的四大银行

ysc

防不胜防

AnyView

具体就是如果黑客攻破了你的手机，就可以在他的设备上得到验证码，对吧？

辰哥

记得刚来澳洲的时候给国内家人报平安打了个长途
之后没多久就有人打过来
播放轮子的“退党保平安”
无孔不入啊

hgaox

AnyView 发表于 2021-8-18 14:34
具体就是如果黑客攻破了你的手机，就可以在他的设备上得到验证码，对吧？ ...

我的理解 （安卓）手机都不需要被攻破 利用漏洞安装恶意APP就可以达成窃取验证码的目的

Thyme

ysc 发表于 2021-8-18 14:33
防不胜防

+1

superdigua

hgaox 发表于 2021-8-18 14:41
我的理解 （安卓）手机都不需要被攻破 利用漏洞安装恶意APP就可以达成窃取验证码的目的 ...

我记得安卓系统从版本10开始分权限模块，也就基本堵住了这个漏洞

hgaox

前年Yubico和微软搞推广 只要是microsoft企业用户 可以免费得到Yubikey 一个USB 一个type C的

hgaox

superdigua 发表于 2021-8-18 14:44
我记得安卓系统从版本10开始分权限模块，也就基本堵住了这个漏洞

我就不知道了

qj94

Simonjo

Apple之所以不开放任何app对电话和短信的权限的原因，就在这里。任何app，只要你的手机没有越狱，都只能通过iPhone打电话和发短信，不能读取你的来电记录、通话和短信内容。
即使被很多人骂为什么不能安装第三方垃圾电话短信拦截app。

正常来讲，新版安卓不去root也很好控制这些权限，然而apple是从第一版本ios坚持到现在，用户也养成了习惯了。

Hong606

学习下，谢谢分享

hgaox

Simonjo 发表于 2021-8-18 15:13
Apple之所以不开放任何app对电话和短信的权限的原因，就在这里。任何app，只要你的手机没有越狱，都只能通 ...

此篇文章的一个观点可能没有明确说明 人机交互中最薄弱的环节反而是人

社工 社会工程学相对更易容易破防 验证机制

玉堇

楼主请问一下三毛的梗是什么？

三毛银行（西太银行）

hgaox

玉堇 发表于 2021-8-18 15:23
楼主请问一下三毛的梗是什么？

西太的红色W标志像三毛流浪记中三毛头顶上的三根毛

Brucehome

hgaox 发表于 2021-8-18 14:26
没错吧？澳广的新闻出处 里面也有澳洲的四大银行

新闻有时效性，这是一篇科普文，还是一篇重复了十年多的密码如何设置才合理，安卓手机（因为开源）不安全的软文。

hgaox

Brucehome 发表于 2021-8-18 15:41
新闻有时效性，这是一篇科普文，还是一篇重复了十年多的密码如何设置才合理，安卓手机（因为开源）不安全 ...

十多年前双因素验证还不普及吧？

再说澳广本来就没有商业推广

hgaox

Brucehome 发表于 2021-8-18 15:41
新闻有时效性，这是一篇科普文，还是一篇重复了十年多的密码如何设置才合理，安卓手机（因为开源）不安全 ...

而且讨论的是不同双因素验证机制的安全性

JHHHS

只能跟着别人走

future2521

所以，别用安卓能好不少。

angel8791

越来越感觉防不胜防了，尤其是对我这样的电脑小白来说，谢谢分享！

Chen3rd

說到底，就是不要用安卓唄。

19431943

所以苹果好一些？