モバイルボイスメールシステムは、ハッカーがオンラインアカウントのロックを解除するのに役立ちますか?
1993年、ピーターシュタイナーはペンとインクの漫画をニューヨーカー誌に投稿しました。 1人はコンピュータ画面の前に座って、もう1人に言います。
「インターネットでは、あなたが犬であることを誰も知らない」
シュタイナーとニューヨーカーはおそらくそれがどれほど真実であるか、そしてますます重要な情報がネット上に保存され、人々が銀行や金融のためにオンラインサービスを使用し始めたときに問題がどのような課題になるか理解していなかったでしょうトランザクション。
明らかに誰もがインターネット上で好きな人であると主張することができますが、IDを適切に認証するには、「はい、私はレックスの所有者です」という単純な主張よりも多くのことが必要になります。
それで、最初に起こったのは、人々がパスワードを選ぶように言われたということでした。
残念ながら、人間はパスワードの選択(および記憶)が非常に悪いです。
人々は通常、変化しない静的なユーザー名とパスワードを使用します。 これらは、攻撃者がローテクフィッシング攻撃と基本的なキーロギングスパイウェアをつかむのが簡単な場合もあれば、単に不注意な場合もあります。
また、仕事用デスクトップ、自宅、モバイルタブレットなど、複数のデバイスで複数のオンラインサービス(仕事関連または個人用)の複数のパスワードを操作するのに苦労しているユーザーにとって、事態はさらに複雑になっています。 誰もが頭痛の種になるほどです。
そして、毎日新しいアプリやサービスが出てきます-そして、ユーザーはそれらを試して、サインアップして、おそらく数日後にそれらをダンプすることに熱心です。
オンラインの生活は複雑になっており、ハッキング違反の80%が、簡単に解読したり推測したりできる単純なパスワードを使用した結果であると推定されているのも不思議ではありません。
多要素認証は、次の2つ以上を必要とするため、パスワードの問題に対する答えです。
- あなたが持っているもの(おそらくカード、電話、キーホルダー)
- 知っていること(PINまたはパスワード)
- あなたが何か(指紋などの生体認証)
Google、Facebook、LinkedInなどの注目度の高いサービスが、銀行業界などのより成熟した業界が設定した例に従って、多要素認証ソリューションを導入したことは良いことです。 しかし、攻撃の可能性のあるすべての機会を必ずしも考慮しているわけではありません。
たとえば、今週末シドニーモーニングヘラルド報告 2FAがGoogle、Yahoo、Facebook、LinkedInのプロファイルを保護しているオーストラリアの携帯電話ユーザーは、自分のアカウントが侵害された可能性があります。
理由?これらのWebサイトが2FAコードをモバイルボイスメールシステムのメッセージとして残す方法。
シドニーに本拠を置くセキュリティ研究者のShubham Shah氏は、ボイスメールがチェーンの非常に弱い点であり、攻撃者が2FA保護を回避できる可能性があることを発見しました。
攻撃を行うために、Shahは攻撃に必要なのは次のものだけであることを示しました。
- 被害者のユーザー名/メールアドレスとパスワード。(おそらく、ターゲットを絞ったフィッシング攻撃、またはユーザーが過去に最良のパスワードセキュリティ慣行に従わなかった場合)
- 被害者が2FAサービスに添付した携帯電話番号。(入手しやすい情報が多い)
- 携帯電話番号のなりすましサービス。(別の番号を表示する方法-呼び出し回線識別(CLI)-あなたが実際に呼び出しているものから、少しのコストでネット経由で利用可能)
- リモートアクセス用のモバイルネットワークボイスメール番号。(Googleで検索するだけ)
シャーは、攻撃がどのように機能するかを説明します。
エクスプロイトの最初の段階:
- 攻撃者は2FA対応のWebアプリケーションの被害者アカウントにログインします
- 攻撃者は被害者の電話番号を使って電話をかけます(20〜30秒しか必要ありません)
- この直後に、攻撃者は代替の2FAオプションを選択して、電話で2FAコードを送信します
- 被害者が攻撃者による通話に従事していると、2FA電話通話サービスが被害者のボイスメールに2FAコードを送信します。すぐに 。
これで、被害者のボイスメールにWebサイトまたはオンラインサービスへのアクセスに必要な2FAコードが含まれるようになりました。
攻撃者が行う必要があるのは、なりすましサービスを使用して被害者自身の電話から電話をかけているように見せかけて被害者のボイスメールにアクセスすることだけです。 Shubham Shahが示したように、オーストラリアのOptusモバイル加入者は995万人以上にのぼりました。彼らのボイスメールシステムが、ユーザーの「自分の」電話番号からボイスメールにアクセスするためのPINの入力を要求しなかったためです。
先月、登録簿見つけた同様の問題英国の2つの携帯電話ネットワークで、ハッキングしたいボイスメールアカウントの携帯電話番号を装うようにVOIPシステムをプログラムした後。
つまり、携帯電話事業者がボイスメールシステムを適切に保護していない場合、2FAコードを含むボイスメールを残す準備ができているオンラインサービスがアカウントを危険にさらす可能性があります。
幸いなことに、これには簡単な解決策がいくつかあり、セキュリティ、コスト、使いやすさの間で適切な妥協点を見つけることができます。
まず、携帯電話事業者はボイスメールのセキュリティを強化する必要があります。 理想的には、CLIを使用してボイスメールアカウントにアクセスしようとしているユーザーを特定するだけでなく、ユーザーが既に設定したPINを要求することもできます。
第二に、なぜFacebookやGoogleのようなウェブサイトが最初に2FAコードを含むボイスメールを残したのですか?それがそこに残されていなかったら、ハッカーが乱用のためにそれを回復する機会はありません。電話で2FAコードを受信できると便利な場合があることを認識し(上記の「使いやすさ」の基準を参照)、情報を残すリスクを冒すことなくその電話を配信する方法を見つけることが必要です。ボイスメール。
答えは、自動電話で2FAコードを読み取らないようにすることです。通話でユーザーの操作があった場合を除きます。 たとえば、ユーザーに番号「x」を押して認証コードを通知するように要求します。彼らのボイスメールの挨拶は通話と相互作用しないため、妥協するメッセージは残りません。
1つの最終的な解決策があります。 そしてそれは、電話やSMSメッセージに依存する認証システムを廃止し、代わりに別の認証方法に依存することです。
Shubham Shahの発見、および問題のニュースに対するさまざまなオンラインサービスの対応について詳しく知りたい場合は、彼の記事を読んでください。ブログ投稿 。
これらすべてが非常に複雑に聞こえる場合は、調査することをお勧めしますクラウドベースの認証ソリューションこれは、ログイン方法に関係なく、データを認証してコンテンツを保護し、複数のサービスと連携し、秘密のPINを含むボイスメールを残すことは決してありません。
