L'accesso alle cifre Twitter (codice di autenticazione sms) non è sicuro?

Naviga le tue risposte
11

Twitter ha rilasciato (qualche tempo fa) un nuovo kit denominato Cifre che consente al client di accedere con un numero di telefono e un codice di autorizzazione (ricevuto tramite sms). Lo trovo ottimo per l'esperienza dell'utente e stavo pensando di implementarlo anche sulla nostra app / sito web ma non è "molto" insicuro? Posso immaginare diversi problemi:

  • il numero di telefono è facile da indovinare : questo consente all'aggressore di eseguire campagne di SPAM cieche riuscite, anche in base alla posizione (stato, città in base al prefisso). Se la maggior parte degli utenti di Internet usasse numeri di telefono invece di indirizzi e-mail, sono sicuro che la quantità di spam che ricevono sarebbe più alta. Gli spammer non dovranno preoccuparsi della raccolta degli indirizzi e-mail. Avrebbero solo generato numeri di telefono con una buona possibilità di catturare quelli validi / attivi.
  • l'SMS non è sicuro : a differenza del servizio di posta elettronica, l'SMS non ha alcun protocollo di autenticazione (per quanto ne so) tale DKIM, SPF, quindi anche i clienti esperti non sono in grado di verificare l'integrità del mittente (cioè se è twitter o un numero falsificato). Una volta registrato / autenticato con il numero di telefono, si stabilisce anche SMS come canale di comunicazione. Quindi non è solo il codice di autenticazione che si riceve tramite sms, ma tutte le comunicazioni (conferme o qualsiasi altra cosa twitter) vengono inviate attraverso un canale che non supporta l'autenticazione. Questo è fondamentalmente come e-mail senza DKIM, SPF e anche senza alcun filtro SPAM.
  • disturbo: il bruto forza la maggior parte dei numeri di telefono validi solo per divertimento a generare disturbo (ad esempio, fa sì che twitter invii i codici di autenticazione a tutti i numeri di telefono possibili). Potrebbero esserci restrizioni IP sensibili, ma non riesco a vedere questo fermando l'aggressore.
  • raccolta dati - > malware : l'utente malintenzionato scopre quali numeri di telefono sono registrati su Twitter (vedi brute-force), invia loro SMS (che assomigliano a una notifica di twitter) con link malevoli.
  • phishing : il cliente potrebbe essere più disposto a rivelare un codice ricevuto tramite sms che una password. Se un modulo di phishing richiede un sms ricevuto da Twitter (MITM), penso che il cliente sia più propenso a fornirlo di una password poiché il codice viene ricevuto su richiesta (non si prevede che sia un segreto che il cliente sta ricordando) e il processo (attendere l'SMS e copiarlo / incollarlo) distrae il client dalla pagina di accesso. Vale anche la pena notare che la notifica SMS copre l'intestazione dell'interfaccia utente (barra degli indirizzi).

    
posta themihai 28.04.2015 - 20:09
fonte

4 risposte

8

Le cifre sfruttano un singolo 'fattore' tipicamente utilizzato nell'autenticazione a più fattori: "qualcosa che hai", che in questo caso è il tuo telefono. Sì, ci sono punti deboli nella sicurezza di un singolo fattore, proprio come solo usando una password, ma ci sono punti di forza oltre a una semplice password, anche.

  • disturbo - sì, un utente malintenzionato potrebbe inviare spam alla rete telefonica, ma questo di per sé non riduce la sicurezza del processo. potrebbe creare uno scenario DoS in base al modo in cui le cifre sono progettate nel back-end.
  • raccolta dati - > malware - Ho provato la demo con un telefono che non è registrato su Twitter e ha funzionato. Non vedo questo come un modo valido per scoprire gli utenti registrati di Twitter per il phishing mirato, non più di quanto lo spam di coperta fa.
  • raccolta dati - > phishing - Come ricercatore di phishing, potevo immaginare che potesse essere vero. Ma non sono sicuro che un utente sarebbe realisticamente più suscettibile al phishing in questo modo rispetto a qualsiasi altro tipo di phishing per le password. Non credo di capire il tuo scenario di minacce qui.
  • l'SMS non è sicuro - sì, SMS non è un canale sicuro, proprio come l'email, ma ottieni un codice quando hai attivato il codice da inviare. Non sono sicuro che si riceverebbe un codice gratuito e iniziare a cercare un'app a cui non hanno effettuato il login allo scopo di inserirla. Per quanto riguarda il MITM, le stesse protezioni del sito web si applicano a certs, DNS, ecc. E le minacce sarebbero comuni per gli accessi basati su password.

Dato il tuo modello di rischio, non sono sicuro che i Cifre siano meno sicuri di una password. È un meccanismo di risposta alle sfide che utilizza un telefono come fattore. Le protezioni della pagina di accesso e le protezioni personali del telefono (serrature, crittografia, gestione remota) possono essere utilizzate dall'utente per renderlo più sicuro di un tipico meccanismo di password. Sì, è ancora un singolo fattore, e sì ci sono modi per un utente di renderlo insicuro, ma il meccanismo stesso non è intrinsecamente insicuro.

    
risposta data 28.04.2015 - 20:31
fonte
1

Secondo questo articolo su Wired, lo è.

link

L'attacco: "... Gli hacker, come dice lui, avevano convocato Verizon, lo avevano impersonato e convinto la società a reindirizzare i suoi messaggi di testo su una diversa carta SIM, intercettando i suoi codici di accesso unici."

    
risposta data 17.07.2016 - 21:04
fonte
0

Sì, non è sicuro, oltre a violare la privacy degli utenti.

Questa soluzione offre a Twitter, al gestore di telefonia mobile dell'utente e ai vari governi dei paesi in cui Twitter e il suddetto vettore hanno la possibilità di impersonare i propri utenti sulla propria piattaforma senza che questi se ne accorgano. Per renderlo più chiaro: qualsiasi dipendente canaglia o aggressore all'interno di Twitter o del vettore dell'utente può accedere come qualsiasi altro utente.

E come se già non fosse già abbastanza brutto, questo rende Twitter consapevole dei tempi e delle posizioni (IP, user-agent, eventuali metadati del browser) da cui gli utenti accedono, quindi Twitter può ora correlare queste informazioni per costruire un profilo dell'utente, su quali siti accede, a che ora e se ha un account Twitter (basato sui cookie poiché controllano sia il dominio Digits che il normale dominio Twitter) in modo che possano inquinare la sua cronologia con sponsorizzati tweets basati sulle informazioni che ora conoscono sull'utente.

Infine, chiedere agli utenti il loro numero di telefono non è una buona idea se vuoi che gli utenti si registrino sul tuo sito - come utente esperto di tecnologia non lo darei per le ragioni sopra menzionate, ma molto meno tecnico gli utenti esperti si rifiuterebbero comunque di farlo solo per evitare potenziali spam per SMS.

    
risposta data 29.04.2015 - 08:23
fonte
0

Ecco altri due problemi da aggiungere all'elenco:

  1. Avvia un'autenticazione di cifre sul dispositivo in base al numero di telefono del destinatario. Quindi spingere il bersaglio verso l'alto per ottenere il codice di autenticazione dalla schermata di blocco del telefono (utilizzare il dispositivo per scattare una foto del dispositivo di destinazione, se necessario). Inserisci il codice sul tuo dispositivo e ti trovi nell'account della destinazione.

  2. Poiché è bloccato sul dispositivo mobile tramite SMS, solo il proprietario del dispositivo può accedere all'applicazione da quel dispositivo. Se il proprietario consente a qualcuno di prendere in prestito il proprio dispositivo per accedere ai propri dati di un'altra persona (come un browser Web per controllare la propria posta sul dispositivo di qualcun altro), il modo più ovvio per l'autenticazione (utilizzando il numero del dispositivo mobile in mano) comporterà l'accesso involontario all'account del proprietario del dispositivo.

risposta data 06.06.2015 - 19:00
fonte

Leggi altre domande sui tag

Qualcuno è in grado di hackerare il mio account Facebook conoscendo il mio IP dinamico, PPPoE e maschera? In che modo MDK3 esegue attacchi deauth?