研究人员发现三大公司的2FA短信验证机制存漏洞

业界 作者:HackerEye 2016-07-18 09:22:35
比利时安全信息研究员Arne Swinnen报告在Instagram(Facebook),谷歌和微软产品中,发现了一个共同的利用2FA验证机制缺陷的验证服务的漏洞。这些公司部署的2FA验证机制 可通过短信的形式发送短验证码,同时也可以使用人工语音通话读出验证码的形式验证,Swinnen发现的漏洞则利用了后一种验证方式的缺陷。 2746a61d6d3d0f7.png_600x600 这些语音通话通常将那些特定用户的电话号码和用户账号紧密互绑,Swinnen理论上可以利用此漏洞向这些服务的用户账户发动攻击,在实验中他发现Instagram,谷歌和微软Office 365账户使用相同的验证机制因此攻击可以在三方账户内同时奏效。 随后他将任一账户与高级电话号码绑定,而非普通电话号码,当三个账号服务中任一向用户发送访问验证码时,由于使用高级号码的SMS可通过注册通话并向来电公司收取话费。攻击者可以通过创建虚假的Instagram账号、谷歌或微软账号,并捆绑至一个高级电话服务(premium phone service)。通过互相指向和捆绑获取话费利润,使用自动脚本提高效率后,研究员估计以为攻击者可以为所有账号同时大量地发送2FA验证请求,根据合法的话费收取获得大量的利润。他预计如果使用得当,攻击者一年可通过此项攻击从Instagram服务中获得206.6万英镑的收入,谷歌43.2万英镑,微软66.0万英镑。 研究人员在博客中阐述了漏洞的细节,并向微软谷歌和facebook报告了相应的漏洞,获得了Facebook 2000美元的奖励,微软500美元的奖励,谷歌更是在公司的名人堂中刻上了他的名字。

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接