据3月22日Vice最新公布的消息称:短信验证的安全情况比任何人想象的都要糟糕。在一次白帽攻击中,发现短信验证不仅具有固有的安全缺陷,且在整个电信领域的基础结构中安全性也十分糟糕。
在这次白帽攻击中,攻击者只是向电信运营商Sakari支付了少量费用(16美元),就成功拦截和重新发送了用户的所有短信。“在这种情况下,一旦(攻击者)通过重新路由拦截到目标用户的短信,就可以轻松侵入与该用户手机号码相关联的其他任何管理账户”,Vice表示:“白帽攻击者向与用户手机相关联的Bumble,WhatsApp和Postmates等平台发送了登录请求,都轻松访问了这些平台帐户。”
这次白帽攻击是利用了企业短信发送管理服务中的漏洞,能神不知鬼不觉将受害者短信转发给攻击者,让攻击者轻易得到通过短信发送的验证码或登录连接。虽然提供短信服务的公司不会轻易将验证身份的短信发送给已重定向的电话号码,只有在用户许可的情况下将短信发送给其他人。但通过企业短信服务漏洞,攻击者不仅能成功拦截内送短信,甚至还可代替用户进行短信回覆。最可怕的是被攻击的用户完全感受不到被攻击,可惜这起事件并没有引起电信行业运营商的警惕,反而是一种默许的态度。
事实上,攻击者早已掌握了许多利用短信和蜂巢系统漏洞来获取他人短信的攻击手法,如SIM 卡劫持(SIM Swapping)和SS7(Signaling System Number 7)攻击。但通过上述攻击,用户很容易就能发现自己被攻击,因为在这种攻击下用户手机将处于完全没有信号的状态,如果采用得当的方法,可以避免绝大部分损失。但如果通过上述短信转发进行攻击,用户完全无法感知,这让攻击者有足够时间劫持用户的任何账号。
细思极恐,目前短信验证依然被广泛应用在众多的网络应用场景中,网络游戏、在线支付、网上银行、网上购物、在线社交、数字资产交易所、服务器(矿机)管理等。尤其是在IPFS火热的当下,每天都有大量矿工加入到挖矿队伍中,IPFS矿场数量也是与日俱增,每天产生的数额巨大的数字资产,但IPFS矿场运营场景当中短信验证使用也十分广泛,如登录访问管理中心、提币充值、密码校验,还有内部的人工提币等等,如果攻击者针对IPFS矿场使用这种短信转发攻击,无疑能给IPFS矿业带来一场灾难。
网安信提醒广大IPFS矿场运营者或广大IPFS矿工,在日常工作当中,要谨慎使用短信验证,大家必须确保密码安全且独一无二,不轻易使用短信验证,如不可避免,请使用加密验证或2FA 验证,例如安装谷歌身份验证器或Authy 之类的App,或安装内置2FA验证功能的密码管理器,如1Password。
来源:freebuf.com 2021-03-23 18:14:12 by: 网安信科技wax
请登录后发表评论
注册