web-dev-qa-db-ja.com

SMSベースの2FAインターセプト

Reddit インターセプトされたSMSベースの2FAの結果としてセキュリティ違反が発生したことが明らかになりました。別の投稿 on SMS 2FA は、違反の実行に使用された通信のss7プロトコルの欠陥を参照しています。

Redditのインシデントに、SMSを受信したデバイスに悪意のあるコードをインストールするためのss7手法または何らかのスピアフィッシングが含まれていたかどうかはわかりません。ただし、傍受が使用された場合、元のデバイスがメッセージを受信することを期待し、所有者がメッセージを要求していないことを理解し、会社のセキュリティチームに警告しました。そうは言っても、ハッカーは正当なデバイスがSMS 2FAのリクエストを取得するのをブロックできたでしょうか、それとも、ターゲットがリクエストするのを待って、それらを攻撃しようとしただけでしょうか。ログインする?

4
Aaron

攻撃者がSMSコードを傍受したのか、それともそれを迂回する方法を見つけただけなのか、記事からは明らかではありません。詳細がなければ、何が起こったのか実際に言うことはできません。

ただし、Black Hat USA 2017で示されている「ゴーストテレフォニスト」攻撃を見てください。これは、攻撃者が通話またはSMSに転送せずに通話を傍受する方法の実例です。エンドユーザー。

また、2FAコードを受け取ったときにすべてのユーザーがアクションを実行するわけではないことに注意してください。「誰かが私のパスワードを入手したが、2FAがログインを阻止した」と考えて、何が起こったかを無視する可能性があります。

2
sguerrini97