研究人员发现三大公司的2FA短信验证机制存漏洞-阿里云开发者社区

开发者社区> 安全> 正文

研究人员发现三大公司的2FA短信验证机制存漏洞

简介:

比利时安全信息研究员Arne Swinnen报告在Instagram(Facebook),谷歌和微软产品中,发现了一个共同的利用2FA验证机制缺陷的验证服务的漏洞。这些公司部署的2FA验证机制 可通过短信的形式发送短验证码,同时也可以使用人工语音通话读出验证码的形式验证,Swinnen发现的漏洞则利用了后一种验证方式的缺陷。这些语音通话通常将那些特定用户的电话号码和用户账号紧密互绑,Swinnen理论上可以利用此漏洞向这些服务的用户账户发动攻击,在实验中他发现Instagram,谷歌和微软Office 365账户使用相同的验证机制因此攻击可以在三方账户内同时奏效。

随后他将任一账户与高级电话号码绑定,而非普通电话号码,当三个账号服务中任一向用户发送访问验证码时,由于使用高级号码的SMS可通过注册通话并向来电公司收取话费。攻击者可以通过创建虚假的Instagram账号、谷歌或微软账号,并捆绑至一个高级电话服务(premium phone service)。通过互相指向和捆绑获取话费利润,使用自动脚本提高效率后,研究员估计以为攻击者可以为所有账号同时大量地发送2FA验证请求,根据合法的话费收取获得大量的利润。他预计如果使用得当,攻击者一年可通过此项攻击从Instagram服务中获得206.6万英镑的收入,谷歌43.2万英镑,微软66.0万英镑。

研究人员在博客中阐述了漏洞的细节,并向微软谷歌和facebook报告了相应的漏洞,获得了Facebook 2000美元的奖励,微软500美元的奖励,谷歌更是在公司的名人堂中刻上了他的名字。





====================================分割线================================


本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章