Двухфакторная аутентификация уязвима для новой атаки

Александр Панасенко 11 Апреля 2016 - 14:37

...

Исследователи из Амстердамского свободного университета обнаружили, что двухфакторную аутентификацию можно обойти, если у жертвы есть смартфон с Android или iOS. Проблема кроется в автоматической синхронизации устройств, которую обеспечивают сервисы Google и Apple.

Двухфакторная аутентификация требует подтверждать права доступа по двум независимым каналам. Чаще всего она выглядит так: сначала пользователь вводит пароль, а затем сообщает одноразовый код, полученный по SMS. Такой метод заметно надёжнее, чем обычная проверка пароля.

Чтобы обойти двухфакторную аутентификацию, злоумышленнику нужно не только узнать пароль, но и оперативно перехватить одноразовый код доступа. Исследователи из Нидерландов обнаружили, что удобства, которые современные мобильные платформы предоставляют своим пользователям, делают перехват SMS вполне реалистичной задачей.

Атаки на пользователей iOS и Android, которые они предложили, существенно различаются, но и в том, и в другом случае компьютер жертвы должен быть заражён специальным трояном, пишет xakep.ru.

Троян, который атакует пользователей Android, от имени жертвы обращается к Google Play и просит установить на её смартфоны шпионское приложение. Google Play молча повинуется, даже не спрашивая у пользователя разрешения. После установки приложение тихонько ждёт SMS с кодом доступа. Получив SMS, оно тут же переправляет его на сервер злоумышленника.

Screen-Shot-2016-04-11-at-2.11

Самое сложное тут — протащить шпиона в Google Play. Для этого исследователи разработали приложение, способное исполнять код из интернета. Все вредоносные функции были реализованы на Javascript, загружаемом с их сервера. Запросы с адресов, принадлежащих Google, сервер игнорировал. Такого трюка хватило для того, чтобы обмануть гугловских цензоров.

Победить iOS оказалось ещё проще. В последние версии OS X и iOS встроена функция под названием Continuity. Она, среди прочего, позволяет читать SMS с айфона при помощи компьютера. Чтобы перехватить код доступа, трояну достаточно мониторить содержимое файла ~/Library/Messages/chat.db, куда попадают пришедшие SMS.

Эта уязвимость была найдена ещё в 2014 году. Исследователи немедленно сообщили о ней Google и другим онлайновым сервисам, использующим двухфакторную аутентификацию, а также провели серию презентаций для банков. Ни одна компания не отреагировала на предупреждение.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 06 Июня 2025 - 10:41

Трояны Фишинг Целевые атаки Таргетированные атаки Корпорации Государство BI.ZONE

Атаки с ClickFix добрались до России: вредонос — в политическом меме

Около 30 российских компаний подверглись кибератакам в мае — начале июня. Это первые случаи в России, когда злоумышленники применили методику ClickFix, которая раньше использовалась только против зарубежных организаций. ClickFix — это такой приём, при котором сам пользователь по сути запускает вредоносный код, даже не подозревая об этом.

Как объясняют специалисты BI.ZONE, сначала жертве приходит письмо якобы от силового ведомства — внутри PDF-документ, но текст в нём намеренно заблюрен. Чтобы его якобы «расшифровать», просят подтвердить, что ты не робот. На деле это всего лишь приманка.

После клика по кнопке пользователя перебрасывают на ещё одну страницу с фейковой CAPTCHA. Там он снова нажимает «Я не робот» — и в этот момент незаметно копируется PowerShell-скрипт в буфер обмена. Далее жертве объясняют, что нужно ввести несколько команд на компьютере, чтобы открыть документ. И вот человек сам, шаг за шагом, запускает скрипт: Win + R, Ctrl + V, Enter — и вредонос начал свою работу.

Что происходит дальше: скрипт скачивает с удалённого сервера PNG-картинку, в которой скрыт вредоносный код. Это так называемый Octowave Loader — загрузчик, маскирующий вредоносные компоненты среди легитимных файлов. Один из файлов содержит вредонос, спрятанный с помощью стеганографии. В итоге на устройство попадает троян удалённого доступа (RAT), который раньше нигде не описывался.

Этот RAT сначала собирает базовую информацию о системе, а потом даёт атакующим полный удалённый доступ к устройству — они могут выполнять команды, запускать процессы и так далее. Причём картинку-жертва не видит: это политический мем, но он не открывается, просто используется как носитель вредоносного кода.

Исследователи предполагают, что за атакой стоит шпионская группа. Об этом говорит и использование собственного RAT, и маскировка под госорганы. Всё это характерно для кибершпионажа.

Атаки начинались с обычных фишинговых писем. Чтобы защититься от подобных сценариев, важно внимательно относиться к вложениям, особенно если в них просят что-то ввести или запустить. И, конечно, помогает отслеживание подозрительной активности — особенно запусков PowerShell и других системных компонентов.

Двухфакторная аутентификация уязвима для новой атаки

Читайте также