戳上面的藍(lán)字關(guān)注我們哦！

因著前幾天在一個(gè)群里看到有人說Facebook的賬號(hào)被盜用了，損失了幾萬美金，最后也不了了之。代理商同學(xué)提醒建議打開雙重驗(yàn)證：為了提高 Facebook 平臺(tái)的安全性，我們建議廣告主必須打開雙重驗(yàn)證才能訪問商務(wù)管理平臺(tái)。這段時(shí)間因新冠疫情的蔓延，線上活動(dòng)的活躍度不斷上升，廣告主個(gè)人帳戶遭盜用的情況屢有發(fā)生，這給了網(wǎng)絡(luò)危險(xiǎn)分子可乘之機(jī)，讓他們得以竊取商務(wù)管理平臺(tái)的訪問權(quán)限，投放虛假或有誤導(dǎo)性的廣告。

看到這個(gè)事情，想到一篇古早的文章，分享給大家，以下為正文，內(nèi)容比較多，請耐心觀看：

我記得在兩年前，兩步驗(yàn)證(2-Factor-Authentication, 2FA)變得非常普及并且在各大主流網(wǎng)站(Google, Facebook, Yahoo 等)廣泛應(yīng)用。那時(shí)我十六歲，天真的我想不通為什么這么天才的想法之前沒有人想到過。在那時(shí)，我認(rèn)為2FA就是一個(gè)可以保護(hù)自己的金色盾牌，它可以抵御那些最復(fù)雜的網(wǎng)絡(luò)欺詐。

兩步驗(yàn)證的分析，概念以及流程

兩步驗(yàn)證的分析

當(dāng)將兩步驗(yàn)證看做一個(gè)整體時(shí)，從一個(gè)攻擊者的角度看來僅僅有這些東西。在我第一次對(duì)兩步驗(yàn)證的分析中，我經(jīng)常在想是否可能進(jìn)行以下的攻擊:

暴力搜索兩步驗(yàn)證的pin碼（有一些服務(wù)，比如蘋果，只有四位的pin，并且?guī)缀鯖]有任何頻率的限制）。

發(fā)現(xiàn)pin生成的漏洞。

通過某種方法竊取兩步驗(yàn)證后的session標(biāo)記，這樣攻擊者可以不用通過兩步驗(yàn)證就登錄賬戶。

以上技術(shù)都是攻擊的有效手段，但是通常沒有人會(huì)使用，因?yàn)檫@些手段太老套了，已經(jīng)有了相應(yīng)的防御。

概念及攻擊流程

被攻擊者的用戶名/郵箱和密碼。

被攻擊者關(guān)聯(lián)到兩步驗(yàn)證服務(wù)的手機(jī)號(hào)。

一個(gè)手機(jī)號(hào)欺詐服務(wù)。

手機(jī)語音信箱遠(yuǎn)程登錄的賬號(hào)。

攻擊者在支持兩步驗(yàn)證的網(wǎng)絡(luò)應(yīng)用上登錄被攻擊者的賬號(hào)。

Telstra不管是什么Caller ID或者是ANI都要求一個(gè)pin碼，因此對(duì)于我上文描述的破解來說是安全的。

Vodafone在未設(shè)置pin碼的情況下，如果我通過欺詐服務(wù)冒充你的號(hào)碼撥打，會(huì)讓我設(shè)置pin碼或者是進(jìn)入你的語音信箱。

Virgin Mobile我并未測試，然而由于它是Optus網(wǎng)絡(luò)的一部分，因此它很有可能是易受攻擊的。

你如果不確定你現(xiàn)在使用的是哪種網(wǎng)絡(luò)，或者你想檢查一下自己是否是易受攻擊的，我的一個(gè)朋友（(Aleksa Sarai）寫了一段程序通過你的手機(jī)號(hào)來確定你的在澳大利亞的移動(dòng)網(wǎng)絡(luò)。你只需輸入你的手機(jī)號(hào)然后點(diǎn)擊check就可以了。

你可以在Github上找到檢測移動(dòng)網(wǎng)絡(luò)的代碼。

向谷歌安全團(tuán)隊(duì)揭露

谷歌是兩步驗(yàn)證的早期使用者，它的全部服務(wù)都使用了兩步驗(yàn)證。如果你所選擇的電話公司在語音信箱安全方面管理非常嚴(yán)格的話，谷歌現(xiàn)在使用的兩步驗(yàn)證系統(tǒng)還是非常安全的，但是谷歌所提供的兩步驗(yàn)證可以繞過的概率其實(shí)是非常高的。

語音信箱服務(wù)的安全并不由谷歌管理而是由電話商管理。

一旦兩步認(rèn)證的標(biāo)記或者OTP在語音信箱中，有許多可以攻擊的因素，可以撤銷標(biāo)記而不改動(dòng)谷歌端的數(shù)據(jù)。

如果你想看我和谷歌對(duì)話的全部郵件記錄，你可以點(diǎn)擊這里: google.pdf。

注意：通過這個(gè)繞過兩步驗(yàn)證的方法并不能不動(dòng)聲色地來盜取谷歌賬戶，因?yàn)楹苡锌赡芤坏┑卿浀街С謨刹津?yàn)證的谷歌賬戶中就會(huì)自動(dòng)向用戶發(fā)送信息。在前面的步驟中你必須選擇撥打電話的方式然后繼續(xù)破解。這樣很可能會(huì)引起受害者的警覺。

他們對(duì)我最初的破解的回復(fù)如下：

嗨，

謝謝你的錯(cuò)誤報(bào)告。我們已經(jīng)看了你提交的數(shù)據(jù)并且確信這不是谷歌產(chǎn)品的安全缺陷。這個(gè)攻擊假設(shè)了一個(gè)易被盜取的密碼，并且實(shí)際的易被攻擊性是由于電話商提供的對(duì)語音信箱的保護(hù)不夠充分導(dǎo)致的。請直接向電話商報(bào)告這些。

Regrads,

     Jeremy

雖然我知道語音信箱系統(tǒng)不夠安全這是電話商的錯(cuò)誤，我仍然覺得谷歌把兩步驗(yàn)證標(biāo)記發(fā)送到語音信箱這一做法有缺陷，這是個(gè)很危險(xiǎn)的做法，并且大部分2FA提供商都不這樣做。因此，我作出了以下回復(fù)：

Hi, Jeremy,

當(dāng)我發(fā)現(xiàn)這些漏洞時(shí)，我完全理解并且我也和電話商在不斷聯(lián)系。

澳大利亞和英國的大部分電話商都只要求一個(gè)并未鎖定的四位的pin碼。然而，使用VoIP服務(wù)以及Asterisk AGI(http://www.voip-info.org/wiki/view/Asterisk+AGI)的一些腳本就在一天內(nèi)可以進(jìn)入語音信箱的賬號(hào)。

實(shí)質(zhì)上，雖然你說的“這一定是電話商的問題”是對(duì)的。這不僅意味著在最近四年里（或更多），在澳大利亞使用Optus提供的服務(wù)的人（澳大利亞的大部分人）是非常容易受到繞過兩步驗(yàn)證攻擊的，這也意味著許多國家的電信商也非常容易受相同種類的攻擊。

我覺得把這個(gè)問題說成是一個(gè)純粹的電話商的問題，會(huì)有點(diǎn)忽略掉兩步驗(yàn)證并沒有很好的理由來發(fā)送到個(gè)人的語音信箱里這個(gè)事實(shí)。另外，先不考慮由于外部的易受攻擊性使得谷歌的兩步驗(yàn)證可以被繞過這件事，谷歌這樣做事實(shí)上還是會(huì)把敏感信息交給一個(gè)可能易受攻擊的終端。

另外，在做了一些調(diào)查后，我能夠跟Duosecurity 和Authy的專門負(fù)責(zé)兩步驗(yàn)證的工作人員交流了。當(dāng)我第一次發(fā)現(xiàn)谷歌發(fā)送兩步驗(yàn)證的標(biāo)記到語音信箱時(shí)，我非?？隙ㄏ馜uosecurity 和Authy這樣的兩步驗(yàn)證服務(wù)提供商也是易受攻擊的。但是我錯(cuò)了，他們并不會(huì)將兩步驗(yàn)證標(biāo)記發(fā)送到語音信箱。他們是這樣處理這個(gè)問題的：

- 在通過語音發(fā)送PIN碼或者兩步驗(yàn)證標(biāo)記時(shí)要求用戶的某些交互行為。

- 在語音信箱留下一個(gè)空白信息而不是pin。

-要求用戶的交互作為驗(yàn)證的方式（接到兩步驗(yàn)證的電話->告訴用戶按下數(shù)字鍵”x”->如果正確按下=確認(rèn)，如果沒有=未確認(rèn)）

請讓我知道你對(duì)此有何看法以及谷歌是否有應(yīng)對(duì)這種情況的措施。十分顯然這個(gè)問題是由于電話商的不安全的語音信箱服務(wù)造成的，然而這并不是谷歌或者是我可以控制的因此使得兩步驗(yàn)證在某種程度下易受攻擊。

兩步驗(yàn)證對(duì)于那些將Optus手機(jī)號(hào)和谷歌賬戶綁定到一起的澳大利亞人來說是無效的，并且至少近四年是無效的（假設(shè)其他人已經(jīng)知道Optus語音信箱的漏洞了）。

謝謝,

Shubham

谷歌很快回復(fù)道：

嗨，

感謝你解釋這個(gè)問題的潛在作用域。

由于這并不是我們2SV系統(tǒng)在技術(shù)上的缺陷，我不確定我們能夠做些什么來應(yīng)對(duì)這個(gè)問題。但是我已經(jīng)把一個(gè)bug記錄下來并且會(huì)讓團(tuán)隊(duì)成員來看一看。

Jeremy

假設(shè)這個(gè)問題不能修正，因此目前解決這個(gè)問題的最好方法就是禁用通過短信或者電話的兩步驗(yàn)證，啟用谷歌的兩步驗(yàn)證，如果你綁定到手機(jī)就可能容易受到攻擊。

這個(gè)設(shè)置方法可以在下面找到：https://accounts.google.com/b/0/SmsAuthSettings

———————————————————————————————————————————————————–

向Facebook安全團(tuán)隊(duì)揭露

因?yàn)槲业囊粋€(gè)失誤，在這次揭露之前我剛剛意識(shí)到可以用攻擊谷歌的類似方法來攻擊Facebook。Facebook稱他們的兩步驗(yàn)證“Login Approvals”是一個(gè)類似于登錄通知的特點(diǎn)，但是有額外的安全步驟。

用和上述步驟相同的流程來破解，同樣可以繞過Facebook的兩步驗(yàn)證。

登錄賬戶。

點(diǎn)擊“通過短信發(fā)送驗(yàn)證碼”。

會(huì)顯示出撥打電話的選項(xiàng)。

通過撥打被攻擊者電話或其他方法保證被攻擊者處于通話狀態(tài)。

點(diǎn)擊“電話通知驗(yàn)證碼”選項(xiàng)。

驗(yàn)證碼會(huì)被發(fā)送到語音信箱中。

另外，除了上述模式，也可以通過向”https://www.facebook.com/ajax/login/approvals/send_sms“發(fā)送表單數(shù)據(jù)為”method_requested=phone_requested”的請求。

這個(gè)方法是通過截取最初發(fā)送短信的請求，將”sms_requested”替換為”phone_requested”來實(shí)現(xiàn)的，它是最有效地方法。

你可以在這里找到我向facebook 披露這個(gè)漏洞的完整版本facebook.pdf.

然而，他們對(duì)此的回復(fù)如下：

Shubham 你好，

我們目前暫時(shí)禁用了通過電話來發(fā)送登錄驗(yàn)證碼的功能，未來還將進(jìn)一步研究。我們的計(jì)劃是當(dāng)可以實(shí)現(xiàn)用戶在通話中的交互時(shí)再重新啟用這一功能，這樣就可以防止我們將驗(yàn)證碼發(fā)送到語音信箱中。

Neal, Facebook 安全團(tuán)隊(duì)

Facebook在我繞過兩步驗(yàn)證之后迅速的禁用了部分功能，他們非常迅速地采取了措施，至少是臨時(shí)的措施。

狀態(tài): 不再會(huì)受攻擊| 揭露日期: Sun, May 11, 2014 at 10:28 AM

向 LinkedIn安全團(tuán)隊(duì)揭露

正如谷歌和Facebook一樣，當(dāng)被攻擊者沒有接到系統(tǒng)自動(dòng)來電或者占線時(shí)LinkedIn就會(huì)將兩步驗(yàn)證碼發(fā)送到被攻擊者的語音信箱中。

LinkedIn處理地很好，他們關(guān)閉了通過電話發(fā)送兩步驗(yàn)證碼這個(gè)功能，直到他們可以和第三方的兩步驗(yàn)證提供商來修復(fù)這個(gè)問題。

你可以在這里看到我和LinkedIn發(fā)送的所有郵件linkedin.pdf.

他們對(duì)這一問題的主要回復(fù)如下：

Shubham，你好

感謝你在公開這個(gè)問題之前告訴我們。

雖然這個(gè)問題對(duì)我們的影響是有限的，但是我們暫時(shí)關(guān)閉了發(fā)送兩步驗(yàn)證碼的語音的功能。我們正在和第三方協(xié)商解決這個(gè)問題。在問題修復(fù)后，我們會(huì)考慮恢復(fù)語音功能。

謝謝，

David

狀態(tài): 不再會(huì)受攻擊| 揭露日期: Wed, Apr 30, 2014 at 4:15 AM

向雅虎團(tuán)隊(duì)揭露 (通過HackerOne)

雅虎支持兩步驗(yàn)證的主要服務(wù)也容易受到我上文中所說的攻擊。事實(shí)上，對(duì)支持兩步驗(yàn)證的雅虎賬號(hào)的攻擊會(huì)更嚴(yán)重因?yàn)楣粽卟⒉挥脫?dān)心被攻擊者知道他的賬號(hào)已經(jīng)登錄。

通常支持兩步驗(yàn)證的網(wǎng)絡(luò)應(yīng)用會(huì)在有人登錄后發(fā)送短信通知。然而，當(dāng)?shù)卿浀窖呕①~號(hào)以后，并不會(huì)發(fā)送短信，并且可以選擇通過短信或者是電話來發(fā)送驗(yàn)證碼。

向 Authy & Duosecurity揭露

我很快假設(shè)那些提供兩步驗(yàn)證的服務(wù)都一定是易受攻擊的。然而，我是錯(cuò)誤的—因?yàn)樗麄冎肋@個(gè)事實(shí)并且對(duì)發(fā)送pin碼到語音信箱這個(gè)問題有著長遠(yuǎn)考慮。

你可以閱讀我和Authy 及 Duosecurity的來往郵件 authy.pdf and duosecurity.pdf

這兩個(gè)服務(wù)提供商都在24小時(shí)內(nèi)給了我回復(fù)，并且他們對(duì)此都非常熱心。

Authy | 狀態(tài)：不易受攻擊 | 揭露日期: Wed, Apr 30, 2014 at 1:27 AMDuosecurity | 狀態(tài):不易受攻擊 | 揭露日期: 2014-04-29 13:46:16 UTC

Authy會(huì)發(fā)送空白的語音信息，Duosecurity會(huì)在驗(yàn)證前要求用戶的交互操作。

感謝Authy 和Duosecurity!

緩解技術(shù)和向電話商 Telco 揭露：

廣大的讀者你們好，我校對(duì)了上面的一些信息，包括世界各地各種移動(dòng)網(wǎng)絡(luò)的終端。

由于我不能查對(duì) Telco 的海外電話商，我 知道世界各地的人都關(guān)心他們的電話商是否是易受攻擊的。

要看你是否可以通過欺詐服務(wù)不用pin碼就進(jìn)入語音信箱，僅需要跟著上午所說的流程來，將終端號(hào)碼改為你的電話商用的。

如果你的電話商也容易受到攻擊請通過郵件或者是評(píng)論來告訴我。

應(yīng)對(duì)這個(gè)問題并沒有想象中的那么簡單，這要求重新構(gòu)造兩步驗(yàn)證的電話通知。這里是一些建議的解決方法（在給那些公司的郵件里都提到過）：

要求用戶的交互作為驗(yàn)證（推薦）

以語音信箱檢測結(jié)束通話（不可靠）

最后也是最重要的：

去除語音通話發(fā)送驗(yàn)證碼的功能（減少了用戶體驗(yàn)）

向 Optus揭露

我和Ben Grubb一起工作很愉快(The Sydney Morning Herald and The Age的編輯)，他幫助我把這些問題反映給Optus并且在此過程中非常熱心也很有合作精神。

當(dāng)我第一次發(fā)現(xiàn)Optus是易受攻擊的時(shí)候，我的研究讓我注意到這篇文章thisIs your Voicemail Hackable? Optus, Telstra and Vodafone respond

Optus很嚴(yán)肅認(rèn)真地對(duì)待顧客的隱私。顧客必須設(shè)置一個(gè)獨(dú)一無二的PIN碼來激活他們的語音信箱系統(tǒng)。當(dāng)他們的PIN碼被用戶服務(wù)重新設(shè)置時(shí)，Optus會(huì)建議他們重新設(shè)置一個(gè)只有他們自己知道的PIN碼。

至于欺詐服務(wù)，我們正在尋求多種方式來強(qiáng)調(diào)這一正在出現(xiàn)的整個(gè)工業(yè)界的威脅，包括技術(shù)上的解決途徑以及進(jìn)行對(duì)顧客的教育。

這篇文章的日期是2011年7月22號(hào)，距今已經(jīng)三年了，令人驚訝的是這個(gè)問題依然存在并且是一個(gè)關(guān)于隱私的巨大隱患！

我和Ben在2014年3月2日將這個(gè)問題告訴了Optus，從那以后七天左右Optus修復(fù)了這個(gè)問題。

然而，在修復(fù)以后幾個(gè)小時(shí)之內(nèi)，我能夠又一次找出不用pin就可以進(jìn)入任何Optus顧客語音信箱的方法。Optus正在研究這樣的繞過方法，但是在沒有其他公告之前，如果你使用Optus或者其他使用他們網(wǎng)絡(luò)的代理商的服務(wù)，請假設(shè)你的語音信箱是不安全的，比如Vaya, LiveConnected, Amaysim, Exetel, Yatango 等等。

備注

正如同我之前對(duì)于captchas, SSRF和 rate limiting的迷戀一樣，我認(rèn)為語音信箱和移動(dòng)網(wǎng)絡(luò)的安全會(huì)占用我未來的許多時(shí)間。

每個(gè)人都知道移動(dòng)網(wǎng)絡(luò)的安全性很差，但是都沒有做出什么改變，直到我們因此受到侵害才能意識(shí)到這件事情的重要性。

END

做一個(gè)不斷成長的公眾號(hào) 

我在這里等你，一起成長，一起學(xué)習(xí)。

我就知道你“在看”