Двухфакторную аутентификацию можно легко взломать
Исследователи в области безопасности Радгеш Кришнан Конот и Виктор Ван дер Ивен сообщили о выявлении уязвимости в двухфакторной аутентификации. При этом ещё в 2014 году они оповестили о своих результатах Google и прочие онлайн сервисы, включая банки, однако те вяло отреагировали на угрозу.
Исследователи поняли, что отсутствие реакции связано с тем, что они не опубликовали свою работу, что и решено было сделать под названием.
Они пояснили, что в атаке используется не уязвимость программной части, а сама структура двухфакторной аутентификации (2FA). Виной всему стала концепция «anywhere computing», которая предусматривает синхронизацию приложений и контента на разных устройствах, и 2FA может быть взломана, если атакующий получит доступ к компьютеру жертвы.
В основе уязвимости лежит возможность удалённой установки вредоносных приложений на смартфон жертвы посредством iTunes или Google Play Store, для чего требуется доступ к компьютеру (не важно физический, или с помощью иного вредоносного ПО) и не нужна двухфакторная аутентификация. Конечно, злоумышленникам ещё потребуется пройти проверку безопасности в самих репозиториях Apple и Google, но согласно последним данным, это не так уж и сложно сделать.
Учёные подытожили, что «двухфакторная аутентификация сама по себе является неплохой идеей, просто она слабо реализована». Несмотря на кажущуюся сложность схемы, риск стать жертвой такой атаки всё равно существует. На вопрос, как избежать подобной атаки, особенно при использовании Google, где она и была продемонстрирована, исследователи сообщили, что необходимо отказаться от удалённой инсталляции приложений, переместив процесс установки из браузера на локальное устройство.