Forskare vid Princeton University ifrågasatte om SMS-textmeddelanden är en säker autentiseringsmetod att använda som en faktor i en tvåfaktorsautentiseringsinställning (2FA). Svaret visade sig vara ett rungande nej, särskilt när laget började attackera förbetalda planer på de största mobiloperatörerna.
Om en angripare kan få kontroll över ett telefonnummer genom att byta ett offrets konto till angriparens SIM-kort, angriparen kan sedan kapa verifieringsprocessen som använder SMS genom att ta emot autentiserande textmeddelanden istället för offret. I tio av tio försök att stjäla nummer från förbetalda kunder på AT&T, Verizon och T-Mobile kunde forskare överföra kontot till sitt eget SIM-kort. Försök med Tracfone och US Mobile var mindre framgångsrika, men dessa operatörer var inte helt säkra.
Verizon erbjuder Pixel 4a för bara $ 10 / månad på nya obegränsade linjer
I vissa fall ringde forskare för att försöka stjäla en användares identitet och kundtjänstrepresentanten vägleddes dem till rätt svar på identitetsverifiering, eller helt enkelt ge angriparen åtkomst även efter att de gissat felaktigt. Forskarna fann enorm inkonsekvens, enstaka misslyckanden med att verifiera identiteten helt och i allmänhet tillräckligt med svaghet i säkerhetspolicyn för att rekommendera att man undviker SMS som lösenordsautentiseringsmetod sammanlagt. Sedan studien avslöjades för operatörer förra året har T-Mobile sagt att den har uppdaterat sina verifieringsmetoder för att undvika mindre säkra kontroller.
Rapporten föreslår att transportörer överger alla de elaka, osäkra metoderna som för närvarande används och byter för att säkra metoder som ett lösenord / PIN-kod eller åtminstone en engångskod som skickas direkt till användaren via SMS eller e-post. Många av de nuvarande formerna för identifiering som gatuadress, födelsedatum och viss kreditkortsinformation kan hittas genom offentliga registersökningar. Identifierande information, till exempel datumet för offrets senaste betalning eller telefonnummer till de som ringer nyligen, kan manipuleras eller falska för att lura representanter. Webbplatser rekommenderas också att sluta använda SMS som en del av ett autentiseringsschema med flera faktorer.
Tvåfaktorsautentisering: Allt du behöver veta
Har du lyssnat på veckans Android Central Podcast?
Varje vecka ger Android Central Podcast dig de senaste tekniska nyheterna, analyserna och hot-take, med bekanta medvärdar och specialgäster.
- Prenumerera i Pocket Cast: Audio
- Prenumerera på Spotify: Audio
- Prenumerera i iTunes: Audio
Vi kan tjäna en provision för inköp med våra länkar. Läs mer.
Det här är de bästa trådlösa öronsnäckorna du kan köpa till varje pris!
De bästa trådlösa öronsnäckorna är bekväma, låter fantastiskt, kostar inte för mycket och sitter lätt i fickan.
Allt du behöver veta om PS5: Släppdatum, pris och mer.
Sony har officiellt bekräftat att de arbetar på PlayStation 5. Här är allt vi vet om det hittills.
Nokia lanserar två nya budget Android One-telefoner under 200 dollar.
Nokia 2.4 och Nokia 3.4 är de senaste tillskotten till HMD Globals budget smartphone-sortiment. Eftersom de båda är Android One-enheter får de garanterat två stora OS-uppdateringar och regelbundna säkerhetsuppdateringar i upp till tre år.
Här är de bästa fodralet för Galaxy S10.
Även om det inte är den senaste telefonen där ute, är Galaxy S10 en av de trevligaste och mest hala telefonerna på marknaden. Se till att du klär det i ett av dessa fall.