Исследователи из Принстонского университета задавались вопросом, является ли обмен текстовыми SMS-сообщениями безопасным методом аутентификации, который можно использовать в качестве одного из факторов в настройке двухфакторной аутентификации (2FA). Ответ оказался громкое нет, тем более что команда начала атаковать предоплаченные планы крупнейших операторов мобильной связи.
Если злоумышленник может получить контроль над номером телефона, переключив учетную запись жертвы на SIM-карту злоумышленника, злоумышленник затем может захватить процесс проверки, использующий SMS, получая аутентификационные текстовые сообщения вместо жертвы. В десяти из десяти попыток украсть номера у абонентов с предоплатой на AT&T, Verizon и T-Mobile исследователям удалось перенести учетную запись на собственную SIM-карту. Попытки использовать Tracfone и US Mobile были менее успешными, но эти операторы не были полностью защищены.
Verizon предлагает Pixel 4a всего за 10 долларов в месяц на новых безлимитных линиях
В некоторых случаях исследователи пытались украсть личность пользователя, и представитель службы поддержки клиентов на правильные ответы на проверку личности или просто предоставили злоумышленнику доступ даже после того, как они угадали неправильно. Исследователи обнаружили огромные несоответствия, случайные неудачи в проверке личности в целом и в целом достаточно слабых мест в политиках безопасности, чтобы рекомендовать избегать SMS в качестве метода аутентификации по паролю все вместе. Поскольку исследование было раскрыто операторам связи в прошлом году, T-Mobile заявила, что обновила свои методы проверки, чтобы избежать менее безопасных проверок.
Отчет предлагает операторам связи отказаться от всех используемых в настоящее время паршивых и небезопасных методов и перейти на безопасные такие методы, как пароль / PIN-код учетной записи, или хотя бы одноразовый код, отправленный непосредственно пользователю через SMS или электронное письмо. Многие из текущих форм идентификации, таких как почтовый адрес, дата рождения и некоторая информация о кредитной карте, можно найти с помощью общедоступного поиска. Идентификационной информацией, такой как дата последнего платежа жертвы или номера телефонов недавних звонков, можно манипулировать или подделывать, чтобы обмануть представителей. Веб-сайтам также рекомендуется прекратить использовать SMS как часть схемы многофакторной аутентификации.
Двухфакторная аутентификация: все, что вам нужно знать
Вы слушали подкаст Android Central на этой неделе?
Каждую неделю Android Central Podcast знакомит вас с последними техническими новостями, аналитикой и горячими отзывами со знакомыми ведущими и специальными гостями.
- Подпишитесь в Pocket Casts: Аудио
- Подпишитесь в Spotify: Аудио
- Подпишитесь в iTunes: Аудио
Мы можем получать комиссию за покупки, используя наши ссылки. Учить больше.
Это лучшие беспроводные наушники, которые вы можете купить по любой цене!
Лучшие беспроводные наушники удобны, отлично звучат, не стоят слишком дорого и легко помещаются в кармане.
Все, что вам нужно знать о PS5: дата выхода, цена и многое другое.
Sony официально подтвердила, что работает над PlayStation 5. Вот все, что мы знаем об этом на данный момент.
Nokia запускает два новых бюджетных телефона Android One стоимостью менее 200 долларов.
Nokia 2.4 и Nokia 3.4 - последние дополнения к линейке бюджетных смартфонов HMD Global. Поскольку оба они являются устройствами Android One, они гарантированно получат два основных обновления ОС и регулярные обновления безопасности на срок до трех лет.
Вот лучшие чехлы для Galaxy S10.
Даже если это не самый новый телефон, Galaxy S10 - один из самых хороших и самых скользких телефонов на рынке. Обязательно наденьте на него один из этих чехлов.