Исследование: хакеры обходят двухфакторную аутентификацию, используя приложения зеркальных SMS
Сейчас хорошо известно, что имени пользователя и пароля недостаточно для безопасного доступа к онлайн-сервисам. Недавнее исследование выявило, что более 80% всех нарушений, связанных со взломом, происходят из-за взломанных и слабых учетных данных, при этом только в 2016 году было украдено три миллиарда комбинаций имени пользователя и пароля.
Таким образом, внедрение двухфакторной аутентификации (2FA) стало необходимостью. Как правило, 2FA направлена на обеспечение дополнительного уровня безопасности относительно уязвимой системы имени пользователя и пароля.
Цифры показывают, что пользователи, включившие двухфакторную аутентификацию, в конечном итоге блокировали около 99,9% автоматических атак.
Но, как и в случае любого хорошего решения кибербезопасности, злоумышленники могут быстро найти способы его обойти. Они могут обойти 2FA с помощью одноразовых кодов, отправленных в виде SMS на смартфон пользователя.
Тем не менее, многие важные онлайн-сервисы по-прежнему используют одноразовые коды на основе SMS.
В чем проблема с SMS?
Основные поставщики, такие как Microsoft, призвали пользователей отказаться от решений 2FA, которые используют SMS и голосовые вызовы. Это связано с тем, что SMS славится своей заведомо плохой безопасностью, что делает его уязвимым для множества различных атак.
Например, замена SIM-карты была продемонстрирована как способ обойти двухфакторную аутентификацию.
Также доказано, что одноразовые коды на основе SMS могут быть взломаны с помощью легкодоступных инструментов, таких как Modlishka, с использованием метода, называемого обратным прокси. Это облегчает общение между жертвой и мошенником, которую выдают за сервисную службу.
Таким образом, в случае Modlishka, программа будет перехватывать связь между подлинным сервисом и жертвой и будет отслеживать и записывать взаимодействия жертв с сервисом, включая любые учетные данные, которые они могут использовать).
В дополнение к этим существующим уязвимостям были обнаружены дополнительные уязвимости в двухфакторной аутентификации на основе SMS. Одна конкретная атака использует функцию, доступную в магазине Google Play, для автоматической установки приложений из Интернета на устройство под управлением Android.
Если злоумышленник имеет доступ к учетным данным пользователя и ему удастся войти в его учетную запись Google Play на ноутбуке (хотя пользователь и получит соответствующее уведомление), то преступник сможет автоматически установить любое приложение на смартфон жертвы.
Атака на Android
Эксперименты показали, что злоумышленник может без особых усилий получить удаленный доступ к двухфакторной аутентификации пользователя на основе SMS с помощью популярного приложения (имя и тип не указываются по соображениям безопасности), предназначенного для синхронизации уведомлений пользователя на разных устройствах.
В частности, злоумышленники могут использовать скомпрометированную комбинацию адреса электронной почты и пароля, связанную с учетной записью Google (например, username@gmail.com), для установки легкодоступного приложения зеркальных SMS-сообщений на смартфон жертвы через Google Play.
Это реалистичный сценарий, поскольку пользователи часто используют одни и те же учетные данные в различных службах. Использование менеджера паролей - это эффективный способ сделать первую строку аутентификации - имя пользователя/пароль для входа - более безопасной.
После установки приложения злоумышленник может применить простые методы социальной инженерии, чтобы убедить пользователя включить разрешения, необходимые для правильной работы приложения.
Например, мошенники могут притвориться, будто звонят от законного поставщика услуг, чтобы убедить пользователя включить разрешения. После этого они могут удаленно получать все сообщения, отправленные на телефон жертвы, включая одноразовые коды, используемые для 2FA.
Хотя для того, чтобы вышеупомянутая атака сработала, необходимо выполнить несколько условий, она по-прежнему демонстрирует уязвимость методов 2FA на основе SMS.
Что еще более важно, такая атака не требует высоких технических возможностей. Подобный тип атаки просто требует понимания того, как работают эти конкретные приложения и как их разумно использовать (наряду с социальной инженерией) для нацеливания на жертву.
Угроза еще более реальна, когда злоумышленник является доверенным лицом (например, членом семьи), имеющим доступ к смартфону жертвы.
Какая альтернатива?
Чтобы оставаться защищенным в сети, необходимо проверять, безопасна ли первоначальная линия защиты. Сначала нужно проверить свой пароль, чтобы убедиться, что он не взломан. Есть ряд программ безопасности, которые позволяют это сделать.
Также рекомендуется, по возможности, ограничить использование SMS в качестве метода двухфакторной аутентификации. Вместо этого можно использовать одноразовые коды на основе приложений, например, через Google Authenticator. В этом случае код создается в приложении Google Authenticator на самом устройстве, а не отправляется пользователю.
Однако этот подход также может быть взломан хакерами с помощью некоторых сложных вредоносных программ. Лучшей альтернативой было бы использование специализированных аппаратных устройств, таких как YubiKey.
Это небольшие USB-устройства (или устройства с поддержкой ближнего поля), которые обеспечивают упрощенный способ включения двухфакторной аутентификации для различных служб.
Такие физические устройства необходимо подключать к устройству входа в систему или приближать к нему в рамках 2FA, что снижает риски, связанные с видимыми одноразовыми кодами, такими как коды, отправленные по SMS.
Обратите внимание, что основным условием любой альтернативы 2FA является то, что пользователь сам должен иметь определенный уровень активного участия и ответственности.
В то же время поставщики услуг, разработчики и исследователи должны продолжить работу по разработке более доступных и безопасных методов аутентификации.
По сути, эти методы должны выходить за рамки 2FA и переходить к среде многофакторной аутентификации, в которой несколько методов аутентификации одновременно развертываются и комбинируются по мере необходимости.
По материалам: Techxplore