Обход двухфакторной авторизации

[BobNet]

Обход двухфакторной авторизации на Google, Yahoo, Facebook и т.д. >>>

18-летний специалист по безопасности Шабхэм Шах из Австралии опубликовал инструкцию, как обходить двухфакторную авторизацию (2FA) на сайтах Google, Facebook, Yahoo, LinkedIn и почти на всех остальных сайтах, которые предлагают отправить токены 2FA на голосовую почту.

Как можно догадаться, взлом 2FA осуществляется путём доступа к чужому ящику голосовой почты. Метод известен очень давно, не сложен в исполнении и работает у многих операторов сотовой связи. Для получения доступа к ящику голосовой почты нужно знать телефонный номер жертвы, после чего использовать сервис подделки номера вроде Spoofcard. Алгоритм следующий:

- Взломщик авторизуется в системе от лица жертвы, используя чужой пароль.
- Взломщик звонит жертве на телефонный номер, который используется для двухфакторной авторизации.
- Немедленно после этого взломщик изменяет способ отправки кода 2FA на звонок по телефону.
- Поскольку телефон жертвы занят, то код 2FA немедленно отправляется на голосовую почту.
- Дальше взломщик прослушивает сообщения голосовой почты, используя номер телефона жертвы через вышеупомянутый сервис.

До сих пор большинство интернет-компаний не закрыли эту уязвимость и продолжают высылать токены 2FA на голосовую почту. Например, Google аргументирует свою позицию тем, что взломщику нужно изначально знать пароль пользователя, так что его компьютер уже скомпрометирован.

P.S. Точка зрения на это проблему у корпорации зла отчасти верная/правильная, если уже увели все что надо для подобных манипуляций, то уже нет дальнейшего смысла бороться за этого пользователя.

[BobNet]

 

В продолжение темы: как обойти двух факторную аутенфикацию Authy с ../sms  >>>
С помощью простого ввода ../sms можно было обойти второй фактор на сайтах использующих 2FA через authy.com

Итак, по порядку:

1. Я ввожу ../sms в поле токена

2. Клиент кодирует это как ..%2fsms и делает запрос на api.authy.com/protected/json/verify/..%2fsms/authy_id

3. path_traversal декодирует полученный URL на раннем этапе в api.authy.com/protected/json/verify/../sms/authy_id, делит все по / и удаляет директорию /verify

4. Теперь само приложение получает модифицированный путь api.authy.com/protected/json/sms/authy_id который посылает СМС жертве и возвращает 200 статус и ответом {«success»:true,«message»:«SMS token was sent»,«cellphone»:"+1-XXX-XXX-XX85"}

5. Наш клиент который хотел проверить наш токен видит 200 статус и делает вывод что токен правильный. Даже если используется кастомная реализация API, клиент скорее всего ищет success=true что в нашем ответе тоже присутствует.

Попросту говоря введя ../sms в поле токена можно было обойти двух факторную аутенфикацию на всех сайтах использующих Authy.