Двухфакторная аутентификация уязвима для новой атаки

Александр Панасенко 11 Апреля 2016 - 14:37

...

Исследователи из Амстердамского свободного университета обнаружили, что двухфакторную аутентификацию можно обойти, если у жертвы есть смартфон с Android или iOS. Проблема кроется в автоматической синхронизации устройств, которую обеспечивают сервисы Google и Apple.

Двухфакторная аутентификация требует подтверждать права доступа по двум независимым каналам. Чаще всего она выглядит так: сначала пользователь вводит пароль, а затем сообщает одноразовый код, полученный по SMS. Такой метод заметно надёжнее, чем обычная проверка пароля.

Чтобы обойти двухфакторную аутентификацию, злоумышленнику нужно не только узнать пароль, но и оперативно перехватить одноразовый код доступа. Исследователи из Нидерландов обнаружили, что удобства, которые современные мобильные платформы предоставляют своим пользователям, делают перехват SMS вполне реалистичной задачей.

Атаки на пользователей iOS и Android, которые они предложили, существенно различаются, но и в том, и в другом случае компьютер жертвы должен быть заражён специальным трояном, пишет xakep.ru.

Троян, который атакует пользователей Android, от имени жертвы обращается к Google Play и просит установить на её смартфоны шпионское приложение. Google Play молча повинуется, даже не спрашивая у пользователя разрешения. После установки приложение тихонько ждёт SMS с кодом доступа. Получив SMS, оно тут же переправляет его на сервер злоумышленника.

Screen-Shot-2016-04-11-at-2.11

Самое сложное тут — протащить шпиона в Google Play. Для этого исследователи разработали приложение, способное исполнять код из интернета. Все вредоносные функции были реализованы на Javascript, загружаемом с их сервера. Запросы с адресов, принадлежащих Google, сервер игнорировал. Такого трюка хватило для того, чтобы обмануть гугловских цензоров.

Победить iOS оказалось ещё проще. В последние версии OS X и iOS встроена функция под названием Continuity. Она, среди прочего, позволяет читать SMS с айфона при помощи компьютера. Чтобы перехватить код доступа, трояну достаточно мониторить содержимое файла ~/Library/Messages/chat.db, куда попадают пришедшие SMS.

Эта уязвимость была найдена ещё в 2014 году. Исследователи немедленно сообщили о ней Google и другим онлайновым сервисам, использующим двухфакторную аутентификацию, а также провели серию презентаций для банков. Ни одна компания не отреагировала на предупреждение.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 01 Ноября 2025 - 16:14

Вирусы-вымогатели Вирусы-шифровальщики Утечки информации Кража данных Домашние пользователи Корпорации

Группа Akira заявила о взломе Apache OpenOffice и краже 23 ГБ данных

Группировка вымогателей Akira 29 октября опубликовала информацию о взломе Apache OpenOffice — популярного офисного пакета с открытым исходным кодом. Киберпреступники утверждают, что выкрали 23 гигабайта конфиденциальных данных и пригрозили опубликовать их, если не получат выкуп.

На своём сайте в даркнете Akira заявила, что среди украденного — персональные данные сотрудников: адреса, номера телефонов, даты рождения, номера водительских удостоверений, СНИЛС и данные банковских карт.

Кроме того, злоумышленники якобы получили финансовые документы, внутреннюю переписку и отчёты о багах и проблемах разработки.

«Мы скоро выложим 23 ГБ корпоративных документов», — говорится в сообщении группы.

Если информация подтвердится, последствия могут быть серьёзными: похищенные данные будут использоваться для фишинговых атак и социальной инженерии против сотрудников Apache Software Foundation. При этом сам программный код OpenOffice, судя по всему, не пострадал — то есть пользователи офисного пакета не находятся под прямой угрозой.

Apache OpenOffice — один из старейших и наиболее популярных офисных пакетов с открытым кодом. Он поддерживает более 110 языков и работает на Windows, Linux и macOS. Продукт полностью бесплатен и развивается силами сообщества добровольцев под управлением Apache Software Foundation.

Из-за открытой модели финансирования проект страдает от дефицита ресурсов на кибербезопасность, что делает подобные атаки особенно опасными.

Akira действует с марта 2023 года и уже успела заработать десятки миллионов долларов за счёт выкупов. Группировка известна своей агрессивной тактикой двойного вымогательства — сначала она крадёт данные, а затем шифрует системы жертвы. Akira атакует как Windows, так и Linux/ESXi-системы, а в некоторых случаях даже взламывает веб-камеры для давления на пострадавших.

На момент публикации Apache Software Foundation не подтвердила и не опровергла факт взлома. Представители организации отказались от комментариев. Независимые специалисты пока не смогли подтвердить подлинность опубликованных фрагментов данных.

Напомним, весной мы писали, что специалист Йоханес Нугрохо выпустил бесплатный инструмент для расшифровки файлов, пострадавших от Linux-версии вымогателя Akira. Уникальность дешифратора заключается в использовании мощности графических процессоров (GPU) для восстановления ключей шифрования.

Двухфакторная аутентификация уязвима для новой атаки

Читайте также