Video: Razer blade hacking with proofs (Oktober 2024)
Verjetno ste že naleteli na katero od shem za preverjanje pristnosti spletnih strani, ki delujejo tako, da na pametni telefon pošljete enkratno kodo in jo vnesete prek spleta. Primer za mobilne transakcijske številke (mTAN), ki jih uporabljajo številne banke. Google Authenticator vam omogoča, da na enak način zaščitite svoj Gmail račun, poleg tega pa ga podpirajo tudi druge druge storitve, na primer LastPass. Na žalost slabi fantje že vedo, kako to vrsto overjanja podrediti. TextKey-jeva avtentikacija SMS je nov pristop, ki ščiti vse faze postopka overjanja.
Obrnite ga
Preverjanje pristnosti SMS stare kode pošlje to uporabniško kodo na registrirano mobilno številko uporabnika. Ni možnosti, da bi bili prepričani, da kode ni ujela zlonamerna programska oprema ali prestrežena s klonom telefona. Nato uporabnik vnese kodo v brskalnik. Če je osebni računalnik okužen, lahko transakcija ogrozi. Pravzaprav Zeusova različica, imenovana zitmo (za "Zeus v mobilnem telefonu"), izvaja napad skupine s tag-i, pri čemer ena komponenta v računalniku in ena v mobilni napravi sodelujeta pri kraji vaših poverilnic in vašega denarja.
TextKey obrne celoten postopek. Ne sporoči vam ničesar. Namesto tega pokaže PIN, ko vnesete uporabniško ime in geslo in od vas zahteva, da to kodo SMS pošljete na določeno kratko kodo. Mobilni operaterji resnično trdijo, da se ena telefonska številka ujema z natančno eno napravo, tako da če TextKey strežnik sploh prejme sporočilo, to pomeni, da je prevoznik že potrdil telefonsko številko in UDID telefona. Prav tam TextKey dobi dva dodana faktorja avtentikacije brezplačno!
Koda PIN je vsakič drugačna in velja le nekaj minut. Kratka koda se tudi razlikuje. Spletno mesto, ki uporablja TextKey za preverjanje pristnosti, lahko od vsakega uporabnika zahteva, da ustvari osebno kodo PIN, ki jo mora dodati na začetek ali konec enkratne kode PIN.
Kaj se zgodi, če sodelavec rame brska po zaslonu s kodo PIN in kratke kode ali če zlonamerni program prijavi lastniku sporočilo o vaši dejavnosti pošiljanja sporočil? Če sistem TextKey prejme pravo kodo PIN iz napačne telefonske številke, ne samo zavrne overjanje. Telefonsko številko zabeleži tudi kot goljufijo, zato lahko lastnik spletnega mesta ustrezno ukrepa.
Kliknite to povezavo in poskusite TextKey. Za predstavitvene namene vnesete svojo telefonsko številko; v resničnem položaju bi bila številka del vašega uporabniškega profila. Upoštevajte, da lahko opozorilo o goljufiji sprožite tako, da vnesete drugo številko, razen svoje.
Kako to dobite?
Žal TextKey ni nekaj, kar lahko implementirate kot potrošnik. Uporabite ga lahko le, če ga je banka ali drugo varno spletno mesto izvedla. Majhna podjetja lahko sklenejo pogodbo za overjanje TextKeyja na podlagi zaščite kot storitve in plačajo od 5 do 50 USD na mesec na uporabnika, odvisno od števila uporabnikov. To je pavšalna mesečna pristojbina za poljubno število prijav. Velike operacije, ki gostijo svoje lastne strežnike TextKey, plačujejo pristojbino za namestitev in mesečno pristojbino.
Ta shema morda ni 100-odstotno nedosegljiva, vendar je precej strožja od overjanja SMS-ov v stari šoli. Presega dvomaktorje; TextPower ga imenuje "Omni-faktor." Morate vedeti geslo, imeti telefon s pravilnim UDID-om, vnesti prikazano kodo PIN, po želji dodati osebno kodo PIN, poslati besedilo s svoje registrirane telefonske številke in kot ciljni kraj uporabiti naključno kratko kodo. V nasprotju s tem bo povprečni heker verjetno odstopil in polomil nekaj bančnih mTAN-ov.
