Ο έλεγχος ταυτότητας δύο παραγόντων (2FA ή Two-Factor Authentication), θεωρείται μαζί με τη χρήση βιομετρικών στοιχείων σαν μία από τις ισχυρότερες μεθόδους προστασίας των δεδομένων του χρήστη στο διαδίκτυο. Μια νέα επίθεση που επινοήθηκε από δύο ερευνητές από το πανεπιστήμιο του Άμστερνταμ δείχνει ότι υπάρχουν αδύνατα σημεία και σε αυτή τη μέθοδο προστασίας.
Οι δύο ερευνητές Radhesh Krishnan Konoth και Victor van der Even, ανέφεραν ότι ανακάλυψαν το κενό ασφαλείας το 2014, προειδοποιήσαν την Google και άλλες online υπηρεσίες, παρουσίασαν τα ευρήματά τους σε τράπεζες, αλλά δεν άλλαξε κάτι.
Όπως εξήγησαν οι ερευνητές, επειδή η ευπάθεια δεν είχε ανακοινωθεί ακόμα δημόσια (μέχρι σήμερα), πολλοί ήταν αυτοί που είπαν ότι δεν είναι πολύ επικίνδυνη. Οι δύο ερευνητές δεν συμφωνούν.
Όπως εξηγούν, με την επίθεση δεν αξιοποιούν κάποιο ελάττωμα λογισμικού, αλλά ένα πρόβλημα σχεδιασμού του Two-Factor Authentication.
Το concept ονομάζεται “anywhere computing,” και αναφέρεται στην ικανότητα συγχρονισμού των εφαρμογές και του περιεχομένου σε όλες τις συσκευές. Χρησιμοποιώντας λοιπόν το anywhere computing το 2FA μπορεί να παρακαμφθεί αν κάποιος εισβολέας αποκτήσει πρόσβαση στον υπολογιστή του θύματος.
Από εκεί οι ατέλειες του σχεδιασμού στο μηχανισμό του 2FA των διαφόρων υπηρεσιών επιτρέπει στους επιτιθέμενους να χρησιμοποιούν υπηρεσίες όπως το iTunes ή το Google Play Store για να προωθήσουν κακόβουλες εφαρμογές στο τηλέφωνο ενός χρήστη χωρίς την ενεργοποίηση του συστήματος ελέγχου ταυτότητας 2FA και χωρίς να εμφανίζεται κάποιο εικονίδιο στην αρχική οθόνη της συσκευής που υποδηλώνει την εγκατάσταση νέου λογισμικού.
Φυσικά, ο εισβολέας πρέπει να περάσει το malware από τα Stores της Google ή της Apple, αλλά τελευταία το έχουμε δει να συμβαίνει.
Οι ερευνητές υποστηρίζουν ότι οι υπηρεσίες που χρησιμοποιούν 2FA θα πρέπει να είναι πολύ επιφυλακτικές με τον συγχρονισμό των εφαρμογών μεταξύ διαφορετικών συσκευών.
Για περισσότερες πληροφορίες, μπορείτε να δείτε το παρακάτω βίντεο. Για όσους επιθυμούν παραπάνω λεπτομέρειες κατεβάστε το PDF How Anywhere Computing Just Killed Your Phone-Based Two-Factor Authentication.