Большинство ресурсов утверждают, что двухфакторная аутентификация является одним из наиболее надежных способов защитить учетную запись от взлома. Однако эксперимент Шабхэма Шаха (Shubham Shah) из Австралии доказывает обратное.
18-летнему эксперту по вопросам ИБ далось обойти двухфакторную аутентификацию на ряде сайтов, предлагающих отправку токенов 2FA на голосовую почту. В частности, речь идет о Google, Facebook, Yahoo, LinkedIn и пр. Естественно, для этого необходимо получить доступ к чужой голосовой почте. Это возможно, если злоумышленнику известен номер телефона жертвы. Для компрометации голосовой почты необходимо воспользоваться сервисом подделки номера, а затем авторизоваться в системе с использованием чужого пароля. Затем нужно позвонить жертве на используемый для авторизации номер. В этот момент изменяется метод отправки токена.
В связи с тем, что номер занят, код направляется на голосовую почту. Используя тот же сервис подделки номера, злоумышленнику необходимо прослушать сообщения, имеющиеся на голосовой почте. Несмотря на наличие подобной уязвимости, интернет-гиганты не слишком спешат вносить изменения в систему авторизации. В Google утверждают, что изменений не нужно, поскольку для взлома злоумышленнику необходимо знать пароль жертвы. Это становится возможным только в том случае, если компьютер уже скомпрометирован. (Новости/NovostIT)
