Бесплатно Экспресс-аудит сайта:

20.05.2014

Обойти двухфакторную аутентификацию можно, перехватив токен 2FA

Большинство ресурсов утверждают, что двухфакторная аутентификация является одним из наиболее надежных способов защитить учетную запись от взлома. Однако эксперимент Шабхэма Шаха (Shubham Shah) из Австралии доказывает обратное.

18-летнему эксперту по вопросам ИБ далось обойти двухфакторную аутентификацию на ряде сайтов, предлагающих отправку токенов 2FA на голосовую почту. В частности, речь идет о Google, Facebook, Yahoo, LinkedIn и пр. Естественно, для этого необходимо получить доступ к чужой голосовой почте. Это возможно, если злоумышленнику известен номер телефона жертвы.

Для компрометации голосовой почты необходимо воспользоваться сервисом подделки номера, а затем авторизоваться в системе с использованием чужого пароля. Затем нужно позвонить жертве на используемый для авторизации номер. В этот момент изменяется метод отправки токена.

В связи с тем, что номер занят, код направляется на голосовую почту. Используя тот же сервис подделки номера, злоумышленнику необходимо прослушать сообщения, имеющиеся на голосовой почте.

Несмотря на наличие подобной уязвимости, интернет-гиганты не слишком спешат вносить изменения в систему авторизации. В Google утверждают, что изменений не нужно, поскольку для взлома злоумышленнику необходимо знать пароль жертвы. Это становится возможным только в том случае, если компьютер уже скомпрометирован.