Hvordan hackere kan bruge apps til spejling af beskeder til at se alle dine SMS-beskeder og omgå 2FA-sikkerhed

Det er nu velkendt, at brugernavne og adgangskoder ikke er nok til sikker adgang til onlinetjenester. En nylig undersøgelse fremhævede mere end 80 % af alle hacking-relaterede brud på grund af kompromitterede og svage legitimationsoplysninger, med tre milliarder brugernavn/adgangskode-kombinationer stjålet alene i 2016.

Som sådan er implementeringen af ​​to-faktor autentificering (2FA) blevet en nødvendighed. Generelt sigter 2FA på at give et ekstra lag af sikkerhed til det relativt sårbare brugernavn/adgangskodesystem.

Det virker også. Tal tyder på, at brugere, der aktiverede 2FA, endte med at blokere omkring 99,9 % af de automatiske angreb.

Men som med enhver god cybersikkerhedsløsning, kan angribere hurtigt finde på måder at omgå den på. De kan omgå 2FA gennem de engangskoder, der sendes som en SMS til en brugers smartphone.

Alligevel bruger mange kritiske onlinetjenester i Australien stadig SMS-baserede engangskoder, inklusive myGov og de 4 store banker:ANZ, Commonwealth Bank, NAB og Westpac.

Hvad er så problemet med SMS?

Store leverandører som Microsoft har opfordret brugerne til at opgive 2FA-løsninger, der udnytter SMS og taleopkald. Dette skyldes, at SMS er kendt for at have berygtet dårlig sikkerhed, hvilket gør det åbent for en lang række forskellige angreb.

For eksempel er SIM-bytning blevet demonstreret som en måde at omgå 2FA. SIM-bytte involverer en angriber, der overbeviser en ofres mobiludbyder om, at de selv er offeret, og derefter anmoder om, at ofrets telefonnummer skiftes til en enhed efter eget valg.

SMS-baserede engangskoder er også vist at blive kompromitteret gennem let tilgængelige værktøjer såsom Modlishka ved at udnytte en teknik kaldet omvendt proxy. Dette letter kommunikationen mellem offeret og en tjeneste, der efterligner sig.

Så i tilfældet med Modlishka vil den opsnappe kommunikationen mellem en ægte tjeneste og et offer og spore og registrere ofrenes interaktioner med tjenesten, inklusive eventuelle loginoplysninger, de måtte bruge).

Ud over disse eksisterende sårbarheder har vores team fundet yderligere sårbarheder i SMS-baseret 2FA. Et bestemt angreb udnytter en funktion i Google Play Butik til automatisk at installere apps fra nettet til din Android-enhed.

Hvis en hacker har adgang til dine legitimationsoplysninger og formår at logge ind på din Google Play-konto på en bærbar computer (selvom du vil modtage en prompt), kan de automatisk installere enhver app, de ønsker, på din smartphone.

Angrebet på Android

Vores eksperimenter afslørede, at en ondsindet aktør kan få fjernadgang til en brugers SMS-baserede 2FA med en lille indsats gennem brugen af ​​en populær app (navn og type tilbageholdt af sikkerhedsmæssige årsager), designet til at synkronisere brugerens meddelelser på tværs af forskellige enheder.

Specifikt kan angribere udnytte en kompromitteret e-mail/adgangskode-kombination forbundet til en Google-konto (såsom [email protected]) til at installere en let tilgængelig meddelelsesspejling-app på et offers smartphone via Google Play.

Dette er et realistisk scenarie, da det er almindeligt for brugere at bruge de samme legitimationsoplysninger på tværs af en række tjenester. Brug af en adgangskodemanager er en effektiv måde at gøre din første godkendelseslinje – dit brugernavn/adgangskodelogin – mere sikker.

Når appen er installeret, kan angriberen anvende simple social engineering-teknikker for at overbevise brugeren om at aktivere de nødvendige tilladelser for, at appen kan fungere korrekt.

For eksempel kan de foregive at ringe fra en legitim tjenesteudbyder for at overtale brugeren til at aktivere tilladelserne. Herefter kan de eksternt modtage al kommunikation sendt til ofrets telefon, inklusive engangskoder, der bruges til 2FA.

Selvom flere betingelser skal være opfyldt for at det førnævnte angreb kan fungere, viser det stadig den skrøbelige karakter af SMS-baserede 2FA-metoder.

Endnu vigtigere er det, at dette angreb ikke har brug for avancerede tekniske muligheder. Det kræver blot indsigt i, hvordan disse specifikke apps fungerer, og hvordan man intelligent kan bruge dem (sammen med social engineering) til at målrette mod et offer.

Truslen er endnu mere reel, når angriberen er en betroet person (f.eks. et familiemedlem) med adgang til ofrets smartphone.

Hvad er alternativet?

For at forblive beskyttet online, bør du kontrollere, om din indledende forsvarslinje er sikker. Tjek først din adgangskode for at se, om den er kompromitteret. Der er en række sikkerhedsprogrammer, der vil lade dig gøre dette. Og sørg for, at du bruger en gennemarbejdet adgangskode.

Vi anbefaler også, at du begrænser brugen af ​​SMS som en 2FA-metode, hvis du kan. Du kan i stedet bruge app-baserede engangskoder, såsom gennem Google Authenticator. I dette tilfælde genereres koden i Google Authenticator-appen på selve din enhed i stedet for at blive sendt til dig.

Denne tilgang kan dog også blive kompromitteret af hackere, der bruger sofistikeret malware. Et bedre alternativ ville være at bruge dedikerede hardwareenheder såsom YubiKey.

Disse er små USB-enheder (eller nærfeltskommunikation-aktiverede) enheder, der giver en strømlinet måde at aktivere 2FA på tværs af forskellige tjenester.

Sådanne fysiske enheder skal tilsluttes eller bringes i nærheden af ​​en login-enhed som en del af 2FA, hvilket mindsker risiciene forbundet med synlige engangskoder, såsom koder sendt via SMS.

Det skal understreges, at en underliggende betingelse for ethvert 2FA-alternativ er, at brugeren selv skal have en vis grad af aktiv deltagelse og ansvar.

Samtidig skal der arbejdes videre af tjenesteudbydere, udviklere og forskere for at udvikle mere tilgængelige og sikre autentificeringsmetoder.

I det væsentlige skal disse metoder gå ud over 2FA og hen imod et multifaktorautentificeringsmiljø, hvor flere autentificeringsmetoder implementeres og kombineres samtidigt efter behov.