我覺得我現在被克隆了,總有兩個一樣的我跟在身邊。
XMobile應用能夠為雙因素認證生成顯示在屏幕上的令牌。安全研究人員警告稱,該應用可能被惡意軟件檢驗并克隆。
詐騙犯可以利用這些克隆來生成登陸銀行賬號和其它在線服務所必須的代碼,制造受害者。
銀行極度依賴于此類令牌來驗證用戶,但基于智能手機的這項技術相比于傳統的硬件令牌而言又帶來了新的風險。
Vantage Point Security公司董事、安全研究人員Bernhard Mueller稱,制造克隆軟件所需要的工作量取決于預防反向工程的防御措施的質量。
入侵那些被廣泛使用的移動式雙因素認證技術并不那么簡單,然而對于技術高超而機智的黑客而言仍舊可能。
Mueller對媒體表示:“克隆Vasco Digipass的工作量不小,大概需要七周時間。我的見解是,它們的防御實際上很棒。我們花了兩周的時間來開發用于RSA SecurID的工具。RSA的官方立場是不支持使用Root后的設備,因此他們配備的額外防御并不多。”
RSA還沒有針對這一研究成果發表聲明。Vasco表示,Mueller指出的漏洞只對其演示應用有效,也即Digipass for Mobile的演示版本和MyBank,它們的安全性能不如實際出產的應用。
Vasco Data Security公司公關副總裁John Gunn表示:“這篇論文描述的攻擊方式僅能夠應用于我們的演示應用。演示應用和實際世界之間的區別是很大的。”
一篇被稱為Hacking Mobile Token的68頁文章中給出了來自兩家相關廠商的官方回應。制作人是Mueller,該文章已經在新加坡近日舉行的Hack In The Box大會上發布。Mueller將概念驗證工具和幻燈片整合進了他的研究中,并得出結論稱,研究的目標是證明幾乎所有東西都能被入侵,只要具備足夠的時間和資源。
完美的混淆方案是不可能的。無法防止擁有白盒權限的對手訪問一些功能,并最終理解、重新制作該功能。移動令牌也無法幸免,因此用戶應當意識到,沒有軟件保護能夠真正防止他們的雙因素認證信息被擁有Root級別權限的對手竊取。Mueller基于他的研究給出了多種防御策略。
Mueller對媒體表示:“應當警告企業和個人用戶,在使用這些產品時隨時打開PIN模式。”
京公網安備 11010502049343號