一名獨立研究人員在發現 Instagram 流動版復原步驟的弱點後,在 Facebook 的臭蟲獎金計劃中獲得 3 萬美元獎金。根據他的發現,通過大規模的暴力破解,可以奪取任何人的帳號,同時也帶出雙重認證的安全性疑慮。
暴力破解 6 位數字認證碼
獨立研究員 Laxman Muthiyah 在查看 Instagram 流動版的復原流程,當中涉及用戶在他們的手機接收一條 6 個位的密碼作為雙重認證,而 6 個位的密碼即是 100 萬個組合。所以只要在核實的裝置上試驗 100 萬條密碼,就能更改任何帳號的密碼。
在 10 分鐘限時內嘗試 100 萬次一次性的密碼看似甚具挑戰性,但是這類型的暴力破解只要有自動腳本和雲端服務帳號,即使是一個人也能夠辦到。在實際環境中,攻擊者需要 5000 個 IP 地址去入侵一個帳號,聽起來很多,事實上只要使用 Amazon 或 Google 等雲端服務商就能輕易獲得,完成 100 萬條密碼攻擊的成本只需要大約 150 美元。
Instagram 的復原機制有次數限制的保護,例如一段時間內一個 IP 地址可以登入的次數受到限制,研究人員首次發出 1000 個密碼,但只有 250 個通過,然而他亦發現 Instagram 並沒有把相當時段內超過容許數量的 IP 地址放入黑名單,所以他能夠重複轉換 IP 地址來持續攻擊。而且也能夠利用同時發送來擾亂次數限制的機制,因此通過競爭危害 (Race hazard) 和 IP 輪轉的方式,能夠達到發生大量密碼而不被限制,不過由於每條密碼只有 10 分鐘限時,所以需要數千個 IP 地址去滿足時間條件。
150 元成本賺 30000 獎金
只花了 150 美元的成本,研究人員成功展示了整過程,他把概念和影片遞交給 Facebook 保安團隊,經過核實後已確守會向他發送 3 萬美元獎金,而團隊也訊速找出問題所在和正進行修復。
雙重認證已經失效?
大部份雙重證認都使用類似的方法,6 位數字的一次性密碼在數分鐘內到期,帶出了多少服務同樣面對相同的風險。除了以上的方法,繞過 SMS 的雙重認證其實還有其他方法,例如在一月時曝光的滲透測試工具 Modlishka 和去年的 APT 攻擊「Return of Charming Kitten」。最近則有活動利用釣魚網站讓用戶掉入陷阱,用戶在假網站輸入的資料,黑客即時在真網站入輸入,即使受雙重認證保護,黑客也有假的確定畫面等候用戶輸入一次性密碼,然後再在真網站內依照輸入就能存取受害者的帳號。
在去年的12月,一款 Android 木馬程式被發現從受雙重認證保護的 PayPal 帳號內盜取金錢,它偽裝成電池優化工具,取得裝置的存取權限,令它可以監視其他應用程式上的活動,之後就等待裝置的主人打開 PayPal 登入,由於它不盜取登入資料而是等待用戶自行到官方應用程式登入,所以能夠繞過雙重認證。
資料來源:Threat Post