Smartphone 2FA è stato rotto?

0

Questa ricerca afferma che l'autenticazione a due fattori è stata interrotta dalla possibilità di installare in remoto un'app su un dispositivo . Credo che un utente malintenzionato possa pubblicare un'app nello store dedicata a intercettare gli SMS 2FA (ad esempio) e forzare l'installazione sul dispositivo semplicemente hackerando la password dell'account.

Sono anche consapevole che alcuni fornitori utilizzano un approccio di mitigazione come l'invio di una e-mail per avvisare di un nuovo accesso al proprio account, ma l'utente malintenzionato può comunque bloccarsi per un periodo di tempo limitato.

Quindi la domanda è una vera minaccia alla sicurezza dell'autenticazione a due fattori basata sullo smartphone (dispositivo non dedicato) o è un rischio ragionevole che possiamo permetterci?

    
posta Hooch 03.06.2016 - 10:59
fonte

2 risposte

2

Affidarsi al cellulare come secondo fattore è in qualche modo casuale - ci sono sempre più persone che si affidano ai cellulari come dispositivi di accesso a Internet primari (specialmente in paesi con un'infrastruttura cablata limitata), quindi un'app su un telefono, un SMS o un'e-mail può finire sullo stesso dispositivo che l'utente malintenzionato sta usando. Ciò causa già problemi: prova a effettuare un pagamento con l'app mobile di Paypal se hai attivato 2FA e non ti lascerà, poiché tenta di proteggersi da questo tipo di attacco. Però non sembrano avere una buona soluzione.

Ci sono ovvie strategie di mitigazione dell'attacco nel documento di riferimento: i telefoni potrebbero limitare l'installazione dai browser (ad esempio richiedere un codice visualizzato sul browser per essere immesso sul telefono a mano, o disabilitare la funzione di default, in un simile per i metodi di abbinamento Bluetooth, quindi l'utente del telefono deve essere attivamente alla ricerca di tentativi di installazione per farli funzionare), gli app store potrebbero essere più proattivi nel rilevare le funzioni di lettura SMS, oppure le pagine di ricezione 2FA potrebbero richiedere ulteriori dettagli di verifica (ad es. richiede l'inserimento della password del sito, che aggiungerebbe ostacoli agli attacchi di furto di sessione, o richiederebbe caratteri specifici del codice inviato, rendendo l'interazione umana più facile della voce automatizzata).

Per la maggior parte degli account, tuttavia, è probabilmente a basso rischio. Se si utilizza una password complessa per l'account dell'app store, è necessario che un utente malintenzionato rilevi tale caricamento in background e si dovrebbe sempre prestare attenzione alle nuove applicazioni installate sul dispositivo. Esistono sempre applicazioni che passano attraverso qualsiasi sistema di monitoraggio, quindi il problema sembrerebbe essere la fiducia cieca posta dal telefono nel processo di installazione automatizzata dell'app store, un caso di usabilità con un lato negativo della sicurezza.

    
risposta data 03.06.2016 - 11:38
fonte
1

This research states that two factor authentication has been broken by the possibility to remotely install an app on a device.

2FA si basa sull'idea che il dispositivo sia effettivamente completamente posseduto dall'utente. Se vengono installate applicazioni controllate dall'attaccante in grado di intercettare SMS, ecc., Il dispositivo non è più interamente di proprietà dell'utente, poiché l'autore dell'attacco ne controlla una parte importante.

Questo non infrange 2FA da solo, ma rompe i 2FA economici implementati su dispositivi non sicuri. In realtà non è una sorpresa.

I 2FA corretti su dispositivi con funzionalità ridotta funzionano ancora. Ciò include il software di generazione OTP su uno smartphone limitato (ad esempio, nessun'altra app installata, nessuna connessione Internet o mobile ...). Anche i token hardware anti-manomissione come smart card o token OTP funzionano ancora. Tutti questi sono più sicuri ma anche più costosi rispetto all'implementazione di 2FA su uno smartphone di uso generale. costosa.

    
risposta data 03.06.2016 - 11:51
fonte

Leggi altre domande sui tag