研究人员发现三大公司的2FA短信验证机制存漏洞

比利时安全信息研究员Arne Swinnen报告在Instagram（Facebook），谷歌和微软产品中，发现了一个共同的利用2FA验证机制缺陷的验证服务的漏洞。这些公司部署的2FA验证机制 可通过短信的形式发送短验证码，同时也可以使用人工语音通话读出验证码的形式验证，Swinnen发现的漏洞则利用了后一种验证方式的缺陷。 这些语音通话通常将那些特定用户的电话号码和用户账号紧密互绑，Swinnen理论上可以利用此漏洞向这些服务的用户账户发动攻击，在实验中他发现Instagram，谷歌和微软Office 365账户使用相同的验证机制因此攻击可以在三方账户内同时奏效。 随后他将任一账户与高级电话号码绑定，而非普通电话号码，当三个账号服务中任一向用户发送访问验证码时，由于使用高级号码的SMS可通过注册通话并向来电公司收取话费。攻击者可以通过创建虚假的Instagram账号、谷歌或微软账号，并捆绑至一个高级电话服务（premium phone service）。通过互相指向和捆绑获取话费利润，使用自动脚本提高效率后，研究员估计以为攻击者可以为所有账号同时大量地发送2FA验证请求，根据合法的话费收取获得大量的利润。他预计如果使用得当，攻击者一年可通过此项攻击从Instagram服务中获得206.6万英镑的收入，谷歌43.2万英镑，微软66.0万英镑。 研究人员在博客中阐述了漏洞的细节，并向微软谷歌和facebook报告了相应的漏洞，获得了Facebook 2000美元的奖励，微软500美元的奖励，谷歌更是在公司的名人堂中刻上了他的名字。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/