Как взломать твиттер двухфакторной аутентификации

Мы указали на некоторые проблемы с новой двухфакторной аутентификацией Twitter. Например, поскольку с учетной записью может быть связан только один номер телефона, двухфакторная аутентификация Twitter не будет работать для таких организаций, как Associated Press, The Onion или The Guardian. Они были взломаны; они все еще могут быть снова взломаны таким же образом. Тем не менее, эксперты в области безопасности указывают, что проблема еще хуже, намного хуже.

Двухступенчатая программа Twitter

Спросите Джоша Александра, генерального директора компании Toopher, занимающейся аутентификацией, как вы будете взламывать Twitter сейчас, когда установлена ​​двухфакторная аутентификация. Он скажет вам, что вы делаете это точно так же, как до появления двухфакторной аутентификации.

В коротком, забавном видео о двухфакторной аутентификации Twitter Александр поздравляет Twitter с присоединением к «двухэтапной программе безопасности» и первым шагом, признающим наличие проблемы. Затем он продолжает иллюстрировать, насколько мало помогает двухфакторная аутентификация на основе SMS. «Ваше новое решение оставляет двери широко открытыми, - сказал Александр, - для тех же атак« человек посередине », которые поставили под угрозу репутацию основных источников новостей и знаменитостей».

Процесс начинается с того, что хакер отправляет убедительное электронное письмо с сообщением, рекомендующим мне сменить мой пароль в Twitter, со ссылкой на фальшивый сайт Twitter. Как только я это сделаю, хакер использует мои захваченные учетные данные, чтобы соединиться с настоящим Twitter. Твиттер отправляет мне проверочный код, и я ввожу его, тем самым передавая его хакеру. На данный момент аккаунт pwned. Посмотрите видео - оно показывает процесс очень четко.

Неудивительно, что Toopher предлагает другой вид двухфакторной аутентификации на основе смартфона. Решение Toopher отслеживает ваши обычные местоположения и обычные действия и может быть настроено на автоматическое одобрение обычных транзакций. Вместо того, чтобы отправлять вам код для завершения транзакции, он отправляет push-уведомление с подробной информацией о транзакции, включая имя пользователя, сайт и соответствующие вычисления. Я не проверял это, но это выглядит разумно.

Избегайте двухфакторного поглощения

Рок-звезда по безопасности Микко Хиппоннен из F-Secure предлагает еще более ужасный сценарий. Если вы не включили двухфакторную аутентификацию, злоумышленник, получивший доступ к вашей учетной записи, может настроить ее для вас, используя свой собственный телефон.

В своем блоге Гиппонен отмечает, что если вы отправляете твиты через SMS, у вас уже есть номер телефона, связанный с вашей учетной записью. Легко остановить эту связь; просто отправьте сообщение STOP на короткий код Twitter вашей страны. Обратите внимание, что это также останавливает двухфакторную аутентификацию. Отправка GO включает его снова.

Имея это в виду, Гиппонен выдвигает страшную последовательность событий. Во-первых, хакер получает доступ к вашей учетной записи, возможно, через фишинговое сообщение. Затем, отправив сообщение GO со своего телефона на соответствующий короткий код и следуя нескольким подсказкам, он настраивает вашу учетную запись так, чтобы код двухфакторной аутентификации поступал на его телефон. Вы заблокированы.

Этот метод не будет работать, если вы уже включили двухфакторную аутентификацию. «Возможно, вам следует включить 2FA вашей учетной записи, - предложил Хиппонен, - прежде чем кто-то другой сделает это за вас». Мне не совсем понятно, почему злоумышленник не мог сначала использовать подделку SMS, чтобы ОСТАНОВИТЬ двухфакторную аутентификацию, а затем продолжить атаку. Могу ли я быть более параноиком, чем Микко?