L'autenticazione del fattore SMS TextKey è sicura contro la clonazione del telefono cellulare?

3

Mi sono imbattuto in questo sito web oggi che implementa l'autenticazione basata su SMS che funziona "di fronte" alla maggior parte dei metodi di autenticazione SMS.

Nella tipica autenticazione SMS, il provider ti invia un codice di accesso che usi per accedere al sito. Il sistema TextKey funziona in modo inverso: quando si accede a un sito, viene visualizzato un codice speciale digitato in un messaggio SMS e inviato al provider per completare l'autenticazione.

Il sito web di TextKey afferma che questo è più sicuro e immune da clonazione del telefono perché il telefono invia un UDID che è inserito nel telefono insieme al messaggio SMS e, a meno che il telefono non abbia l'UDID corretto, il provider cellulare non accetterà il messaggio. Questo rende la clonazione molto più difficile perché l'utente malintenzionato dovrebbe modificare questo ID codificato che viene bruciato nel telefono e immutabile. )

È vero? Ho spostato una scheda SIM tra più telefoni e non ho avuto problemi a inviare e ricevere messaggi SMS dal numero di telefono associato a tale SIM, nonostante non abbia mai registrato un UDID (IMEI, qualsiasi cosa) con il gestore. Un fornitore di codici brevi può vedere l'IMEI o MEID univoco del telefono?

Sembra che questo sistema abbia lo stesso rischio di intercettazione dovuto alla clonazione come qualsiasi altro metodo di autenticazione basato su SMS - se qualcuno è in grado di clonare la SIM di un telefono, allora può inviare e ricevere messaggi di testo come tale utente, ignorando il Porzione SMS dell'autenticazione.

    
posta Johnny 25.05.2013 - 01:53
fonte

2 risposte

3

Sono l'amministratore delegato di TextPower e volevo rispondere direttamente alla tua domanda. Grazie per aver dedicato del tempo a mettere insieme una domanda ponderata.

Penso che tu debba fare un passo indietro e guardare l'immagine più grande qui. Il prodotto 2FA di TextPower TextKey funziona sulla base del fatto che è necessario possedere il possesso fisico del telefono, inclusa la scheda SIM al suo interno per l'autenticazione corretta. Se possiedi fisicamente più di un telefono, puoi utilizzare uno qualsiasi di questi, ma solo quello registrato con TextPower può essere utilizzato per l'autenticazione tramite TextKey 2FA. Se si dispone di un telefono con una scheda SIM sostituibile (telefoni GSM standard come quelli trovati su AT & T o T-Mobile) è possibile spostare tale scheda SIM su più dispositivi dotati di schede SIM sostituibili. Questo perché sei in possesso fisico della scheda SIM che trasporta l'UDID che il telefono utilizza per comunicare con la rete. Si noti che il numero di telefono NON appare sulla carta SIM. Solo l'UDID identifica il telefono fisico. L'UDID è un numero univoco davvero lungo ed è ciò che l'operatore vede quando una chiamata o un SMS passa attraverso il loro sistema - non "vedono" il numero di telefono.

Quindi, potresti clonare una SIM da un telefono e poi usarla? In teoria, sì, ma in pratica è estremamente difficile da fare e altamente poco pratico (e improbabile) dal punto di vista dell'hacking. Perché? Perché per clonare una SIM dovresti rubare il telefono a qualcuno, rimuovere la scheda SIM e poi avere accesso a un masterizzatore che potrebbe creare una scheda SIM. Dovresti avere una scorta di carte SIM vuote. Nel momento in cui l'hai fatto, probabilmente il proprietario avrebbe denunciato il furto del telefono e il suo corriere avrebbe invalidato l'UDID rendendo inutile la tua carta SIM rubata, tranne che per fornire un modo meraviglioso per la polizia di rintracciarti e arrestarti. (Il numero di criminali arrestati in questo modo è ora relativamente grande.) Il proprietario del telefono / scheda SIM rubati potrebbe anche fermarti semplicemente annullando la registrazione del proprio telefono con TextPower.

Inoltre potresti pensare di poter rubare la SIM card di qualcuno, clonarla e sostituirla nel dispositivo originale senza che ne sia a conoscenza il proprietario. Sfortunatamente ciò che accade in questo caso è che oltre a tutti i problemi elencati nel paragrafo precedente, avrai creato un paio di altri problemi. (Ovviamente prima devi riuscire a rubare il dispositivo, clonare la scheda SIM e sostituirla senza le conoscenze del proprietario - non è un compito facile - ma lo lasciamo andare per ora.) Il problema aggiuntivo che hai creato in questo la situazione è che se il dispositivo originale che sei riuscito a rubare e tornare è stato acceso quando hai acceso il tuo dispositivo con la scheda SIM rubata / clonata, fallirebbe la registrazione di rete a causa del duplicato UDID (sì, i gestori guardano questa roba - < em> molto strettamente). Se il dispositivo rubato è stato acceso per primo, il vero proprietario della scheda SIM non è riuscito a registrare il proprio dispositivo. Probabilmente segnalerebbero questo rapidamente al loro corriere che scoprirà l'UDID duplicato e quindi lo invaliderà.

TextKey è assolutamente intrattabile? Di certo non lo diremmo. Come ogni schema di autenticazione, ci sono modi teorici per romperlo. In pratica, tuttavia, i modi per romperlo sono fuori dalla portata di chiunque abbia meno di enormi risorse e il disponibilità a utilizzare furti significativi e ad assumere rischi considerevoli. Ecco perché, sebbene non promuoviamo TextKey come "non hackerabile", riteniamo che sia più sicuro degli altri metodi 2FA, in particolare quelli che utilizzano un SMS con terminale mobile in cui viene inviato un codice al telefono, aprendo così il processo di autenticazione a un attacco del browser MITM / MITB sul sito Web in questione.

Spero che questo risponda chiaramente alla tua domanda. Sono felice di rispondere ad eventuali domande o dubbi più dettagliati che potresti avere e apprezzare sinceramente il tuo interesse.

    
risposta data 28.05.2013 - 19:47
fonte
0

Leggendo attraverso il loro sito sembra che abbiano delle partnership con operatori telefonici che identificano i mittenti SMS (quindi presumo tu invii un testo invece di riceverli) basato su un ID univoco associato alla loro SIM (la maggior parte probabilmente l'ICCID) per aggirare lo spoofing dell'ID chiamante.

Questo è più sicuro dell'invio di un testo normale (dove qualcuno che spoofing il numero verrebbe autenticato) ma è ancora insicuro, poiché i difetti del GSM consentirebbero a chiunque a distanza ravvicinata dal telefono di spoofarlo (e sarebbe invisibile al occhi del corriere, quindi l'UUID sarebbe lo stesso).

Per non parlare delle vulnerabilità dei carrier, in quanto questo sistema è completamente basato sulla fiducia che il vettore non deve mentire. Ho lavorato per uno e sembra quello che succede dietro le quinte, non è bello e non sarei sorpreso se ci fosse già malware installato su alcune macchine critiche che hanno accesso amministrativo alle apparecchiature di rete. I dipendenti corrotti potrebbero facilmente rompere anche questo sistema.

Perché affrontare tutti questi problemi in cui abbiamo già un metodo disponibile come metodo solido ? Oltre all'aspetto di sicurezza (in), questo ha lo svantaggio di richiedere la connessione di rete e gli utenti devono essere abbonati a un vettore partner e connessi alla loro rete - non funzionerebbe per le persone che vivono all'estero o in viaggio.

    
risposta data 04.11.2016 - 01:24
fonte

Leggi altre domande sui tag