Двухфакторная аутентификация уязвима для новой атаки

Александр Панасенко 11 Апреля 2016 - 14:37

...

Двухфакторная аутентификация уязвима для новой атаки

Исследователи из Амстердамского свободного университета обнаружили, что двухфакторную аутентификацию можно обойти, если у жертвы есть смартфон с Android или iOS. Проблема кроется в автоматической синхронизации устройств, которую обеспечивают сервисы Google и Apple.

Двухфакторная аутентификация требует подтверждать права доступа по двум независимым каналам. Чаще всего она выглядит так: сначала пользователь вводит пароль, а затем сообщает одноразовый код, полученный по SMS. Такой метод заметно надёжнее, чем обычная проверка пароля.

Чтобы обойти двухфакторную аутентификацию, злоумышленнику нужно не только узнать пароль, но и оперативно перехватить одноразовый код доступа. Исследователи из Нидерландов обнаружили, что удобства, которые современные мобильные платформы предоставляют своим пользователям, делают перехват SMS вполне реалистичной задачей.

Атаки на пользователей iOS и Android, которые они предложили, существенно различаются, но и в том, и в другом случае компьютер жертвы должен быть заражён специальным трояном, пишет xakep.ru.

Троян, который атакует пользователей Android, от имени жертвы обращается к Google Play и просит установить на её смартфоны шпионское приложение. Google Play молча повинуется, даже не спрашивая у пользователя разрешения. После установки приложение тихонько ждёт SMS с кодом доступа. Получив SMS, оно тут же переправляет его на сервер злоумышленника.

Screen-Shot-2016-04-11-at-2.11

Самое сложное тут — протащить шпиона в Google Play. Для этого исследователи разработали приложение, способное исполнять код из интернета. Все вредоносные функции были реализованы на Javascript, загружаемом с их сервера. Запросы с адресов, принадлежащих Google, сервер игнорировал. Такого трюка хватило для того, чтобы обмануть гугловских цензоров.

Победить iOS оказалось ещё проще. В последние версии OS X и iOS встроена функция под названием Continuity. Она, среди прочего, позволяет читать SMS с айфона при помощи компьютера. Чтобы перехватить код доступа, трояну достаточно мониторить содержимое файла ~/Library/Messages/chat.db, куда попадают пришедшие SMS.

Эта уязвимость была найдена ещё в 2014 году. Исследователи немедленно сообщили о ней Google и другим онлайновым сервисам, использующим двухфакторную аутентификацию, а также провели серию презентаций для банков. Ни одна компания не отреагировала на предупреждение.

Следующая главная новость »

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

Яков Шпунт 21 Мая 2026 - 13:02

Домашние пользователи Корпорации Яндекс

Яндекс сильно урежет функции в бесплатной версии облачного Диска

С начала июня Яндекс отключит синхронизацию для пользователей бесплатной версии Яндекс Диска на десктопах. В компании объясняют этот шаг ростом нагрузки на инфраструктуру: пользователи всё чаще используют сетевые диски для работы с объёмными файлами.

Информация о том, что функциональность десктопной версии Яндекс Диска для бесплатных пользователей будет существенно ограничена, начала появляться ещё на прошлой неделе. Официально представители Яндекса подтвердили её только сейчас в комментарии для «Коммерсанта».

Уже 3 июня у пользователей Яндекс Диска в Windows и macOS данные перестанут синхронизироваться с облаком. Открывать можно будет только те файлы, которые уже сохранены на устройстве. Единственным способом обмена данными останется браузер, что менее удобно, медленнее и не всегда стабильно.

«В рамках развития сервиса мы переносим эти возможности в подписочную модель. Для части пользователей доступно специальное предложение со скидкой на первые месяцы», – сообщили в Яндексе.

Тарифы при этом не изменились. Стоимость подписки «Для себя» начинается от 319 рублей в месяц и включает 200 Гбайт пространства. «Семейная» подписка, к которой можно подключить ещё трёх человек, стоит от 379 рублей при том же объёме хранилища.

В компании отметили, что решение связано с изменением пользовательских сценариев. Клиенты всё чаще используют сетевое хранилище для работы с большими файлами, что увеличивает нагрузку на инфраструктуру сервиса.

Между тем среди конкурентов Яндекса как минимум Сбер и VK сохранили для бесплатных пользователей все функции сетевого диска. Объём бесплатного хранилища также остался прежним – 15 Гбайт. Однако эти сервисы монетизируются за счёт рекламы: её отключение, увеличение объёма и дополнительные функции используются для перевода пользователей на платные тарифы.

По мнению экспертов, опрошенных изданием, решение Яндекса укладывается в глобальную тенденцию к монетизации сервисов, которые раньше были бесплатными. Одним из примеров такого подхода стало сокращение базового объёма Google Диска до 5 Гбайт.

Как отметил генеральный директор хостинг-провайдера RUVDS Никита Цаплин, шаг Яндекса стал первым в России примером радикального ограничения базовых функций приложения. При этом, по его словам, у такого решения есть объективные причины, прежде всего рост цен и дефицит серверного оборудования и комплектующих.

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!