Video: COSIC researchers hack Tesla Model X key fob (November 2024)
Pravdepodobne ste sa stretli s jednou zo schém autentifikácie webových stránok, ktoré fungujú odoslaním jednorazového kódu do smartfónu a zadaním online. Jedným z príkladov sú čísla na overenie mobilnej transakcie (mTAN) používané mnohými bankami. Aplikácia Google Authenticator vám umožňuje chrániť svoj účet Gmail rovnakým spôsobom a podporujú ho aj rôzne ďalšie služby, napríklad LastPass. Bohužiaľ, zlí chlapci už vedia, ako podvrátiť tento typ overovania. TextKey je SMS autentifikácia je nový prístup, ktorý chráni všetky fázy procesu autentifikácie.
Otoč to
Autentifikácia pomocou SMS v starom štýle odošle tento jednorazový kód na zaregistrované mobilné číslo používateľa. Neexistuje spôsob, ako sa ubezpečiť, že kód nebol zachytený malvérom, ani by ho nebolo možné zachytiť pomocou klonu telefónu. Ďalej užívateľ zadá kód do prehliadača. Ak je počítač napadnutý, transakcia môže byť ohrozená. V skutočnosti variant Zeus s názvom zitmo (pre výraz „Zeus v mobilnom telefóne“) vykonáva útok tímu so značkami, pričom jedna súčasť na počítači a druhá na mobile spolupracujú, aby ukradli vaše poverenia a svoje peniaze.
TextKey obracia celý proces. To vám nič nehovorí. Namiesto toho zobrazí kód PIN po zadaní používateľského mena a hesla a požiada vás o zaslanie tohto kódu PIN na zadaný krátky kód. Mobilní operátori naozaj tvrdo pracujú na tom, aby sa jedno telefónne číslo zhodovalo presne s jedným zariadením, takže ak server TextKey správu prijme, znamená to, že operátor už telefónne číslo a UDID telefónu potvrdil. Práve tam dostáva TextKey dva ďalšie autentifikačné faktory zadarmo!
Kód PIN sa zakaždým líši a je platný iba na pár minút. Krátky kód sa tiež líši. A webová stránka používajúca overenie pomocou TextKey môže voliteľne vyžadovať, aby každý užívateľ vytvoril osobný PIN, ktorý musí byť pridaný na začiatok alebo na konci jednorazového PIN.
Čo sa stane, keď spolupracovník plecami surfuje po obrazovke pomocou kódu PIN a krátkeho kódu alebo ak škodlivý program nahlási vašu aktivitu v oblasti textových správ svojmu vlastníkovi? Ak systém TextKey dostane správny PIN z nesprávneho telefónneho čísla, neodmietne iba autentifikáciu. Zaznamenáva tiež telefónne číslo ako podvod, takže vlastník stránok môže podniknúť príslušné kroky.
Kliknutím na tento odkaz vyskúšajte program TextKey. Pre demonštračné účely zadáte svoje telefónne číslo; v reálnej situácii bude číslo súčasťou vášho používateľského profilu. Upozorňujeme, že upozornenie na podvod môžete spustiť zadaním iného čísla, ako je vaše.
Ako to dosiahnete
Bohužiaľ, TextKey nie je niečo, čo môžete implementovať ako spotrebiteľ. Môžete ho použiť iba v prípade, že ho banka alebo iný zabezpečený web implementoval. Malé podniky môžu uzavrieť zmluvu o autentifikácii TextKey na základe zabezpečenia ako služby a platia od 5 dolárov až do 0, 50 dolárov na používateľa mesačne, v závislosti od počtu používateľov. Je to paušálny mesačný poplatok za ľubovoľný počet prihlásení. Operácie vo veľkom meradle, ktoré hosťujú svoje vlastné servery TextKey, platia poplatok za zriadenie a mesačný poplatok.
Táto schéma nemusí byť stopercentne nezrušiteľná, ale je to omnoho tvrdšie ako autentifikácia prostredníctvom SMS v starej škole. Prekračuje to dva faktory; TextPower to nazýva „Omni-Factor“. Musíte poznať heslo, vlastniť telefón so správnym UDID, zadať zobrazený PIN, prípadne pridať svoj osobný PIN, poslať text zo svojho zaregistrovaného telefónneho čísla a ako cieľ použiť náhodný krátky kód. Pri konfrontácii s tým bude priemerný hacker pravdepodobne skĺznuť a namiesto toho rozbije niekoľko bankových mTAN.