2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
那么,您是否有信心,您是安全的攻擊誰破壞認(rèn)證的弱點?再想想,或者至少考慮一下最近的研究結(jié)果。五家運營商使用了不安全的身份驗證挑戰(zhàn)-攻擊者可以在惡意的SIM交換嘗試中利用的不安全性。
每日郵報解釋說,SIM交換是指用戶試圖將一個SIM換成另一個SIM,并與運營商聯(lián)系,以便被聯(lián)系的代表可以將所有者的號碼切換到另一張卡上。
ZDNet中的CatalinCimpanu有一個解釋,強調(diào)了這一切的脆弱性?!癝IM交換是指攻擊者打電話給移動提供商,欺騙電信公司的工作人員,將受害者的電話號碼改為攻擊者控制的SIM卡?!?/p>
普林斯頓大學(xué)的研究報告是“對SIM交換的無線載波認(rèn)證的實證研究”,由普林斯頓計算機科學(xué)和信息技術(shù)政策中心的研究人員撰寫。
在一個場景中,攻擊者可以繼續(xù)重置密碼,訪問電子郵件收件箱、門戶或加密貨幣交易系統(tǒng)。
TechSpot報告說,“研究人員在Verizon、AT&;T、T-Mobile、移動和Tracfone上注冊了50個預(yù)付費賬戶,并在2019年的大部分時間里尋找能夠欺騙呼叫中心運營商的方法,將他們的電話號碼附加到新的SIMS上。”
在他們的論文中,研究人員同樣描繪了SIM交換攻擊的可怕畫面。這些“允許攻擊者攔截呼叫和消息,模擬受害者,并執(zhí)行拒絕服務(wù)(DoS)攻擊。它們被廣泛用于侵入社交媒體賬戶、竊取加密貨幣和闖入賬戶。這種脆弱性是眾所周知的嚴(yán)重問題”。
討論了五大運營商——AT&;T、T-Mobile、Tracfone、移動和Verizon Wireless。研究人員想確定認(rèn)證協(xié)議。
以下是作者在摘要中寫道:
“我們發(fā)現(xiàn),所有五家運營商都使用了不安全的認(rèn)證挑戰(zhàn),很容易被攻擊者顛覆。我們還發(fā)現(xiàn),攻擊者通常只需要針對最脆弱的身份驗證挑戰(zhàn),因為其余的可能被繞過?!?/p>
《每日郵報》的文章有助于提供一些案例:在SIM交換嘗試中,許多嘗試都成功地告訴代表們,他們忘記了安全問題的答案。此外,《每日郵報》說,研究人員聲稱,他們無法回答有關(guān)出生日期和地點等問題的原因是,他們在建立賬戶時一定犯了錯誤。
掃描論文本身,很容易看出為什么研究人員擔(dān)心成功的SIM交換。
“在我們成功的SIM互換中,我們最多只通過一個認(rèn)證方案,就能通過運營商認(rèn)證自己?!庇辛艘粋€提供商,使用呼叫日志驗證,研究人員被允許使用SIM-swap,”一旦我們提供了兩個最近撥打的號碼,盡管我們以前的所有挑戰(zhàn)都失敗了,例如PIN。
ZDNet指出,”研究小組從其研究中編輯了17個易受攻擊服務(wù)的名稱,以防止SIM交換器將重點放在這些網(wǎng)站上,以備今后進行攻擊。
(作者解釋說:“我們還評估了140多個提供基于電話的認(rèn)證的在線服務(wù)的認(rèn)證策略,以確定它們?nèi)绾螌雇ㄟ^SIM交換泄露用戶電話號碼的攻擊者。我們的關(guān)鍵發(fā)現(xiàn)是,17個不同行業(yè)的網(wǎng)站已經(jīng)實施了認(rèn)證政策,使攻擊者能夠通過SIM交換完全損害一個帳戶。
作者有什么建議?他們提出了一些建議。他們寫道:“運營商應(yīng)該停止不安全的客戶認(rèn)證方法。逐步淘汰不安全的方法是解決辦法的一部分。另一項建議是“向客戶支助代表提供更好的培訓(xùn)”。此外,他們還應(yīng)該“制定措施,教育客戶了解這些變化,以減少過渡摩擦。”
作者說,他們從預(yù)付費市場上發(fā)現(xiàn)了五家移動運營商薄弱的認(rèn)證計劃和有缺陷的政策?!拔覀儽砻?,這些缺陷使得SIM交換攻擊變得直截了當(dāng)。我們希望我們的建議能成為公司在用戶認(rèn)證方面政策改變的有益起點?!?/p>
技術(shù)觀察作家有什么建議?Adrian Potoroaca在TechSpot中稱:“顯而易見的結(jié)論是遠離使用SMS作為雙因素身份驗證的形式,而是使用身份驗證應(yīng)用程序。對于那些擁有Android手機的人來說,谷歌允許你使用你的手機作為物理雙因素認(rèn)證密鑰,這是最安全的方法?!?/p>
2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。