語音驗(yàn)證有漏洞 黑客每年可從Google,、Facebook和微軟盜竊數(shù)百萬歐元
原創(chuàng)2016-07-18E安全E安全
E安全7月18日訊 比利時(shí)安全研究員Arne Swinnen發(fā)現(xiàn)通過雙因素語音驗(yàn)證系統(tǒng)一年能從Facebook,、Google和Microsoft公司盜竊數(shù)百萬歐元,。
許多部署雙因素認(rèn)證(2FA)的公司通過短信息服務(wù)向用戶發(fā)送驗(yàn)證碼,。如果選擇語音驗(yàn)證碼,,用戶會(huì)接收到這些公司的語音電話,,由機(jī)器人操作員大聲念出驗(yàn)證碼,。
接收電話通常為與這些特定賬戶綁定的電話號(hào)碼,。
從理論上講,攻擊者還可以攻擊其它公司
Swinnen通過實(shí)驗(yàn)發(fā)現(xiàn),,他可以創(chuàng)建Instagram,、 Google以及Microsoft Office 365賬號(hào),然后與高費(fèi)率(premium)電話號(hào)碼綁定也不是常規(guī)號(hào)碼,。
當(dāng)其中這三個(gè)公司向賬戶綁定的高費(fèi)率電話號(hào)碼提供驗(yàn)證碼時(shí),,高費(fèi)率號(hào)碼將登記來電通話并向這些公司開具賬單。
Swinnen認(rèn)為,,攻擊者可以創(chuàng)建高費(fèi)率電話服務(wù)和假Instagram,、Google或Microsoft賬號(hào),并綁定,。
Swinnen表示,,攻擊者能通過自動(dòng)化腳本為所有賬號(hào)申請(qǐng)雙因素驗(yàn)證許可,將合法電話呼叫綁定至自己的服務(wù)并賺取可觀利潤,。
攻擊者可賺取暴利
根據(jù)Swinnen計(jì)算統(tǒng)計(jì),,從理論上講,每年可以從Instagram賺取206.6萬歐元,,Google 43.2萬歐元,,以及Microsoft 66.9萬歐元。
Swinnen通過漏洞報(bào)告獎(jiǎng)勵(lì)計(jì)劃向這三家公司報(bào)告了攻擊存在的可能性,。Facebook給予他2000美元的獎(jiǎng)勵(lì),,Microsoft的獎(jiǎng)勵(lì)金額為500美元,Google在“Hall of Fame”(名人堂)中提及他,。
Arne Swinnen先前還發(fā)現(xiàn)了Facebook的賬戶入侵漏洞,,并幫助Instagram修復(fù)登錄機(jī)制,防止多種新型蠻力攻擊,。
