Двухфакторная аутентификация уязвима для новой атаки

Александр Панасенко 11 Апреля 2016 - 14:37

...

Исследователи из Амстердамского свободного университета обнаружили, что двухфакторную аутентификацию можно обойти, если у жертвы есть смартфон с Android или iOS. Проблема кроется в автоматической синхронизации устройств, которую обеспечивают сервисы Google и Apple.

Двухфакторная аутентификация требует подтверждать права доступа по двум независимым каналам. Чаще всего она выглядит так: сначала пользователь вводит пароль, а затем сообщает одноразовый код, полученный по SMS. Такой метод заметно надёжнее, чем обычная проверка пароля.

Чтобы обойти двухфакторную аутентификацию, злоумышленнику нужно не только узнать пароль, но и оперативно перехватить одноразовый код доступа. Исследователи из Нидерландов обнаружили, что удобства, которые современные мобильные платформы предоставляют своим пользователям, делают перехват SMS вполне реалистичной задачей.

Атаки на пользователей iOS и Android, которые они предложили, существенно различаются, но и в том, и в другом случае компьютер жертвы должен быть заражён специальным трояном, пишет xakep.ru.

Троян, который атакует пользователей Android, от имени жертвы обращается к Google Play и просит установить на её смартфоны шпионское приложение. Google Play молча повинуется, даже не спрашивая у пользователя разрешения. После установки приложение тихонько ждёт SMS с кодом доступа. Получив SMS, оно тут же переправляет его на сервер злоумышленника.

Screen-Shot-2016-04-11-at-2.11

Самое сложное тут — протащить шпиона в Google Play. Для этого исследователи разработали приложение, способное исполнять код из интернета. Все вредоносные функции были реализованы на Javascript, загружаемом с их сервера. Запросы с адресов, принадлежащих Google, сервер игнорировал. Такого трюка хватило для того, чтобы обмануть гугловских цензоров.

Победить iOS оказалось ещё проще. В последние версии OS X и iOS встроена функция под названием Continuity. Она, среди прочего, позволяет читать SMS с айфона при помощи компьютера. Чтобы перехватить код доступа, трояну достаточно мониторить содержимое файла ~/Library/Messages/chat.db, куда попадают пришедшие SMS.

Эта уязвимость была найдена ещё в 2014 году. Исследователи немедленно сообщили о ней Google и другим онлайновым сервисам, использующим двухфакторную аутентификацию, а также провели серию презентаций для банков. Ни одна компания не отреагировала на предупреждение.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 24 Ноября 2025 - 13:12

Сбои программ Сбои оборудования Соответствие законодательству РФ Общее

Проблемы с интернетом и платежами привели к росту оборота наличных

В III квартале 2025 года объем наличных денег в обращении вырос в пять раз по сравнению с тем же периодом 2024 года. На рост повлияли ограничения мобильного интернета, а также ужесточение правил проведения платежей и переводов.

Согласно данным Банка России, которые приводят «Известия», за указанный период в обращении находилось 659 млрд рублей. Годом ранее эта сумма составляла 137,4 млрд.

Тем не менее показатель остаётся ниже уровня июля–сентября 2022 года, когда граждане массово снимали наличные на фоне экономической неопределённости.

Крупные банки — Газпромбанк, ПСБ, «Дом.РФ» и «Абсолют банк» — не зафиксировали резкого роста снятия наличных. Однако финансовые организации отмечают, что клиенты не вернули на счета средства, ранее снятые со вкладов, хотя обычно это происходит после отпускного сезона.

По оценке регулятора, главным фактором повышенного спроса на наличные стали перебои с мобильным интернетом. Многие предпочли иметь при себе запас денег на случай, если безналичная оплата окажется недоступной.

«Для многих отключение мобильного интернета в ряде регионов стало сигналом, что необходимо иметь при себе определенный запас наличных», — отметила руководитель отдела макроэкономического анализа ФГ «Финам» Ольга Беленькая.

Эксперты добавляют, что спрос на наличные вырос и из-за усиления банковского контроля над подозрительными операциями. Опасаясь блокировок и задержек, часть пользователей предпочла перейти к расчётам наличными.

Свою роль сыграло и то, что с 1 июля 2025 года налоговые органы получили право точечно проверять платежи по картам. Как напомнила старший аналитик «Риком-Траст» Валерия Попова, это также подтолкнуло некоторых граждан к более частому использованию наличных.

Дополнительным фактором стало снижение привлекательности вкладов из-за уменьшения базовой ставки. По оценке ведущего аналитика AMarkets Игоря Расторгуева, за первые шесть месяцев года со вкладов было выведено около 200 млрд рублей. Несмотря на это, доля безналичных платежей в экономике остаётся высокой — на уровне 87%. Эксперты считают, что рост операций с наличными отражает скорее прагматичную реакцию граждан на изменения, чем свидетельствует о системных сдвигах.

Двухфакторная аутентификация уязвима для новой атаки

Читайте также