黑客通過語音驗證漏洞每年可從谷歌微軟公司賺錢

責(zé)任編輯:editor007

作者:E安全

2016-07-18 20:21:19

摘自:搜狐IT

比利時安全研究員Arne Swinnen發(fā)現(xiàn)通過雙因素語音驗證系統(tǒng)一年能從Facebook、Google和Microsoft公司盜竊數(shù)百萬歐元。當(dāng)其中這三個公司向賬戶綁定的高費率電話號碼提供驗證碼時,高費率號碼將登記來電通話并向這些公司開具賬單。

比利時安全研究員Arne Swinnen發(fā)現(xiàn)通過雙因素語音驗證系統(tǒng)一年能從Facebook、Google和Microsoft公司盜竊數(shù)百萬歐元。

許多部署雙因素認(rèn)證(2FA)的公司通過短信息服務(wù)向用戶發(fā)送驗證碼。如果選擇語音驗證碼,用戶會接收到這些公司的語音電話,由機器人操作員大聲念出驗證碼。

接收電話通常為與這些特定賬戶綁定的電話號碼。

 

 

從理論上講,攻擊者還可以攻擊其它公司

Swinnen通過實驗發(fā)現(xiàn),他可以創(chuàng)建Instagram、 Google以及Microsoft Office 365賬號,然后與高費率(premium)電話號碼綁定也不是常規(guī)號碼。

當(dāng)其中這三個公司向賬戶綁定的高費率電話號碼提供驗證碼時,高費率號碼將登記來電通話并向這些公司開具賬單。

Swinnen認(rèn)為,攻擊者可以創(chuàng)建高費率電話服務(wù)和假Instagram、Google或Microsoft賬號,并綁定。

Swinnen表示,攻擊者能通過自動化腳本為所有賬號申請雙因素驗證許可,將合法電話呼叫綁定至自己的服務(wù)并賺取可觀利潤。

攻擊者可賺取暴利

根據(jù)Swinnen計算統(tǒng)計,從理論上講,每年可以從Instagram賺取206.6萬歐元,Google 43.2萬歐元,以及Microsoft 66.9萬歐元。

Swinnen通過漏洞報告獎勵計劃向這三家公司報告了攻擊存在的可能性。Facebook給予他2000美元的獎勵,Microsoft的獎勵金額為500美元,Google在“Hall of Fame”(名人堂)中提及他。

Arne Swinnen先前還發(fā)現(xiàn)了Facebook的賬戶入侵漏洞,并幫助Instagram修復(fù)登錄機制,防止多種新型蠻力攻擊。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號