Potrebbe essere intercettato un SMS 2TS parlato (TTS)?

3

A metà giugno, Lastpass ha fatto di nuovo notizia, e da allora ho falciato l'idea dell'autenticazione a due fattori. Dopo aver preso confidenza con SMS e Google Authenticator, ho pensato che l'SMS fosse un po 'più user friendly. Anche se non così diffuso o sicuro come quest'ultimo, sicuramente è meglio di una singola password ..?

Ad ogni modo, mi sono messo a curiosare all'interno di Tasker (app per l'automazione), quando improvvisamente mi è venuta un'idea. Usare una sintesi vocale su un 2FA basato su SMS (leggerlo ad alta voce) sarebbe una cattiva idea? Sarebbe meno sicuro che sbloccare il telefono e leggere il messaggio? Considerando permessi / malware / etc, mi sento come se potesse essere intercettato se lo volesse essere, ma non sono educato sugli schemi per conoscere meglio. Vorrei sapere se questa sarebbe un'opzione praticabile o sarebbe troppo rischiosa?

    
posta Double 04.07.2015 - 04:51
fonte

3 risposte

1

Penso che la risposta dipenda da cosa stai cercando di proteggere. È certamente il caso che avere il messaggio letto ad alta voce alquanto riduce la sicurezza dei messaggi SMS come 2FA. Ciò significa che qualcuno potrebbe ottenere il tuo telefono e usarlo come 2FA per Lastpass senza dover sbloccare il telefono.

Ma se sei preoccupato per gli attacchi di rete generalizzati contro l'LP, come per la recente metà di giugno, non vedo come parlare a voce alta del codice di autenticazione diminuisca la sicurezza.

Qualsiasi meccanismo 2FA offerto da LP sarà, nella maggior parte dei casi, più sicuro rispetto all'utilizzo dell'autenticazione a fattore singolo. Quindi anche i messaggi SMS parlati aiuteranno nella maggior parte dei casi.

PS: Una cosa da tenere a mente, i messaggi SMS non sono criptati end-to-end. Sicuramente il tuo gestore di telefonia mobile può leggere i tuoi messaggi SMS. È possibile anche altre app sul tuo telefono. App come PushBullet possono essere utilizzate per replicare messaggi SMS su un computer (e probabilmente sui server di PushBullet), aumentando ulteriormente la possibilità che vengano visualizzati da un attaccante. Vedi questa risposta per ulteriori informazioni su Sicurezza SMS per 2FA .

    
risposta data 05.07.2015 - 07:17
fonte
0

Se sto capendo correttamente, intendi ricevere un sms e far catturare il tuo telefono dicendo un codice / testo strong. Vedo due potenziali attori malintenzionati: entità esterne e il tuo telefono. Se qualcuno intorno a te sa che stai usando quel metodo, lui / lei può catturare la tua voce e quindi usarla per ulteriori autenticazioni (mantenendo la voce e cambiando il codice / testo). Inoltre, ciò richiederebbe che l'attaccante malintenzionato abbia accesso agli sms per conoscere il messaggio e al telefono per acquisire la voce (il telefono della vittima è collegato all'account). Inoltre, non sei sicuro di aver catturato la tua voce (a meno che non smetti di parlare: P). Per quanto riguarda il telefono come una minaccia, un malware potrebbe catturare la tua voce e il tuo codice, ma poi, ancora una volta, se il tuo telefono è compromesso, hai problemi più grandi e anche senza l'autenticazione vocale, ti verrebbero fregati.

Ora, quello che potrei fare è: seduto vicino a te su Starbucks e supponiamo che conosca la tua email (sto parlando di un tipico 2FA su gmail). Potrei provare ad accedere un po 'dopo di te (la ricezione degli sms è quasi istantanea). Reciterai gli sms inviati per autenticarmi. Ora sono in :). Questo presuppone che la persona pensi che ci sia stato un errore da Google che ti ha inviato due codici (il non paranoico lo lascia passare). Si noterà che non è possibile accedere e richiedere un altro codice / messaggio. Comunque, sarei già nel leggere le tue e-mail.

Sarebbe divertente da guardare, devo dire.

Stai al sicuro!

    
risposta data 03.10.2015 - 13:15
fonte
0

La maggior parte degli attacchi si verificano sulla rete mentre l'SMS è in transito. Una volta raggiunto il tuo dispositivo, il fatto che sia visualizzato o pronunciato non cambierà nulla finché il dispositivo è sicuro e affidabile e finché il TTS si verifica sul dispositivo e non chiama alcuna API TTS online (e se il il dispositivo è compromesso, usando TTS o anche i flash del codice morse non cambieranno nulla, l'attaccante può ottenere il codice 2FA prima che lo schermo si accenda anche per visualizzare la notifica).

Immagino che la potenziale vulnerabilità sia che TTS potrebbe accadere senza che tu debba sbloccare il telefono, quindi un utente malintenzionato che ha rubato il tuo dispositivo non avrà bisogno di conoscere la sua password per poter ascoltare i tuoi codici 2FA.

    
risposta data 03.09.2015 - 08:54
fonte

Leggi altre domande sui tag