黑客通過(guò)語(yǔ)音驗(yàn)證漏洞每年可從谷歌微軟公司賺錢(qián)
【連網(wǎng)】 E安全7月18日訊 比利時(shí)安全研究員Arne Swinnen發(fā)現(xiàn)通過(guò)雙因素語(yǔ)音驗(yàn)證系統(tǒng)一年能從Facebook����、Google和Microsoft公司盜竊數(shù)百萬(wàn)歐元��。
許多部署雙因素認(rèn)證(2FA)的公司通過(guò)短信息服務(wù)向用戶(hù)發(fā)送驗(yàn)證碼�。如果選擇語(yǔ)音驗(yàn)證碼��,用戶(hù)會(huì)接收到這些公司的語(yǔ)音電話(huà)�����,由機(jī)器人操作員大聲念出驗(yàn)證碼。
接收電話(huà)通常為與這些特定賬戶(hù)綁定的電話(huà)號(hào)碼�����。
從理論上講����,攻擊者還可以攻擊其它公司
Swinnen通過(guò)實(shí)驗(yàn)發(fā)現(xiàn),他可以創(chuàng)建Instagram�、 Google以及Microsoft Office 365賬號(hào)�,然后與高費(fèi)率(premium)電話(huà)號(hào)碼綁定也不是常規(guī)號(hào)碼����。
當(dāng)其中這三個(gè)公司向賬戶(hù)綁定的高費(fèi)率電話(huà)號(hào)碼提供驗(yàn)證碼時(shí),高費(fèi)率號(hào)碼將登記來(lái)電通話(huà)并向這些公司開(kāi)具賬單����。
Swinnen認(rèn)為�����,攻擊者可以創(chuàng)建高費(fèi)率電話(huà)服務(wù)和假I(mǎi)nstagram�����、Google或Microsoft賬號(hào)���,并綁定�。
Swinnen表示����,攻擊者能通過(guò)自動(dòng)化腳本為所有賬號(hào)申請(qǐng)雙因素驗(yàn)證許可,將合法電話(huà)呼叫綁定至自己的服務(wù)并賺取可觀利潤(rùn)。
攻擊者可賺取暴利
根據(jù)Swinnen計(jì)算統(tǒng)計(jì)���,從理論上講,每年可以從Instagram賺取206.6萬(wàn)歐元,Google 43.2萬(wàn)歐元�����,以及Microsoft 66.9萬(wàn)歐元�����。
Swinnen通過(guò)漏洞報(bào)告獎(jiǎng)勵(lì)計(jì)劃向這三家公司報(bào)告了攻擊存在的可能性���。Facebook給予他2000美元的獎(jiǎng)勵(lì)���,Microsoft的獎(jiǎng)勵(lì)金額為500美元�,Google在“Hall of Fame”(名人堂)中提及他���。
Arne Swinnen先前還發(fā)現(xiàn)了Facebook的賬戶(hù)入侵漏洞��,�����,并幫助Instagram修復(fù)登錄機(jī)制,防止多種新型蠻力攻擊。
【編輯:馬靜靜】
