-
您的当前位置:聚鲁网-国际综合资讯平台 > 综合资讯 >

大部分移动身份验证器应用存在设计缺陷

来源:国际文传电讯社 编辑:admin 时间:2021-10-13
导读:

最新研究显示,即使拥有硬件安全防护,大部分移动身份验证应用依然存在重大漏洞

 

新加坡--(美国商业资讯)--数字化发展正推高人们对强大数字化身份功能的需求。麦肯锡近期发布的一份调查1报告显示,新冠肺炎疫情显著加快了全球的数字化进程。大部分受访者称,自己与用户或客户的互动中至少有80%是通过数字化方式进行的,而疫情前仅为58%。遗憾的是,各类组织机构也因此遭受了越来越多的网络攻击,攻击形式大多为勒索软件攻击以及网上账户和金融账户劫持。

 

这种状况反而促进了多重验证市场的增长。ResearchAndMarkets.com估计,2020年多重验证市场的规模高达106.4亿美元(到2026年,市场规模约增至283.4亿美元2)。对于银行、金融服务或电子政务应用而言,这意味着它们应采用某种双重验证技术(2FA),通常包括通过短信发送的一次性密码(OTP),以及由硬件令牌或移动身份验证器应用生成的代码。

 

遗憾的是,经证实,通过短信发送的OTP并不安全,容易被拦截及遭受网络钓鱼攻击。硬件令牌的安装成本高、使用不便,还需要定期更换。移动身份验证器被人们视为更为安全、方便的选项,许多身份验证器具有用于生成OTP代码的密钥,由手机内置的专业硬件(称为可信执行环境或TEE)保护。

 

更安全不一定意味着完美,一项针对以往被人忽略的设计缺陷的最新研究进一步证实了这点。

 

最令人苦恼的是,如果身份验证器本身不可靠,那么数字服务就会被恶意软件操控,或被不法分子进行逆向工程操作,最终可能导致账户劫持、数据泄露、网络欺诈或更严重的后果。

 

作为全球首个虚拟安全元件的开发企业,新加坡软件型数字安全公司V-Key最近发布了一份白皮书,揭示大部分移动身份验证应用如何遭恶意软件攻破。不论手机提供何种硬件防护,这实际上都难以避免。

 

大部分身份验证应用采用密钥来生成代码,用于验证用户身份。这些应用就像是藏宝箱,只有这些密钥才能打开。如果这些密钥被盗,黑客就能利用劫来的密钥,假冒用户验证交易或签署文件。正基于此,大部分身份验证应用都竭力采用最安全的密钥存储技术。

 

众多开发人员认为,这就相当于手机的可信执行环境。在安卓手机中,这被称为StrongBox Keystore。在苹果手机中,这被称为iOS Secure Enclave(它有一个名为Keychain的配套软件,用于存储密码等加密数据)。

 

V-Key首席技术官Er Chiang Kai表示:遗憾的是,它们的架构设计普遍存在缺陷,容易被黑客攻击。我们发现恶意软件可以用来获取目标人群的验证器密钥,便于黑客进行未经授权的交易或签署伪造文件。越狱手机、根设备或易受所谓特权升级漏洞影响的机型尤其如此。我们把这种设计缺陷称为信任缺口

 

这到底是如何运作的呢?试想一下,有人使用移动身份验证应用来生成2FAOTP或签署数字文件。某天,他们发现一款有趣的手机游戏或加密货币咨询应用,并决定下载、安装和试用。

 

用户并没察觉这款游戏或加密货币咨询应用实际上是恶意软件,而此类恶意软件可以利用特权升级漏洞,攻破用户的移动身份验证应用。特权升级是一种利用操作系统或软件应用中的漏洞、设计缺陷或配置疏忽的行为,目的是获得通常受其它应用或用户保护的资源(如密钥)的访问权限。其造成的结果是,恶意软件获得了比预期更多的特权——并因此可以访问机密数据,进行未经授权的操作。

 

通常人们坚信安卓KeystoreiOS Secure Enclave保护密钥的能力,因此不会想到有人可能会非法入侵他们的身份验证器。然而,当他们玩新游戏或计算最新加密货币投资的回报时,不良行为者可能已经在窃取他们的密钥,更精确地说,窃取他们被称为“OTP种子的身份验证器密钥。

 

OTP种子是许多OTP令牌的独有秘方。这种加密资产(连同计数器或时间)被输入到身份验证器的OTP算法中,以生成OTP代码。现在,黑客可利用OTP种子生成的与目标人群身份验证器生成的一样的OTP。换句话说,黑客实际上已经拥有了用户的数字化身份。

 

这是一种隐秘且复杂的攻击,因为目标身份验证应用甚至不需要运行,或者在数据不被篡改的情况下遭攻击。当被问及这一漏洞时,谷歌和苹果公司均表示,他们对用户的手机操作概不负责。苹果公司还特别提及,这个漏洞主要影响越狱的苹果手机,该公司认为越狱手机已经超出了官方允许使用的范围。这一立场与枪支制造商在处理枪杀死亡事件时所持的立场基本相似。

 

上述场景主要涉及OTP种子。一些身份验证器依赖于其它类型的加密资产,如公钥基础设施密钥(PKI)。遗憾的是,PKI也会遭类似方式的克隆或窃取。V-Key的白皮书详述了黑客成功运作的方式。

 

在急于快速增长和获取更多客户的过程中,由于过度信任,企业和电子政务应用的开发者实际上都忽略了这个重大的安全漏洞。但如果短信OTP甚至移动身份验证应用都可以被破解,设备和操作系统层也帮助甚微,那么普通用户到底该怎么办?消除信任缺口的最佳方式又是什么?

 

V-Key首席技术官Er表示,最佳解决方案是提供一种方法来识别系统中的每个端点——无论是应用、服务器,还是单个物联网设备。绑定到每个应用的安全元件,如V-Key的应用身份解决方案,可作为应用的身份和完整性证明,无需任何外来的身份验证器,也不会影响用户体验。

 

随着数字化以前所未有的速度扩张,支持身份验证和信任的能力变得至关重要。毕竟,只要破解一个移动身份验证应用,就能渗入企业或政府的数字服务,并可能导致整个系统瘫痪。由此造成的损失并不限于经济处罚和民事责任,还会导致品牌和声誉损失,有时这种损失根本无法弥补。

 

关于V-KEY

 

V-Key是一家软件型数字安全公司,其技术为面向数字身份管理、用户身份验证和授权的超高安全性解决方案提供支持。公司提供简单而安全的通用数字身份服务,将全球各地的人、组织和设备相连结,并深受星展银行(DBS)、华侨银行(OCBC)、大华银行(UOB)等客户和合作伙伴的信任。

 

V-Key拥有国际专利的V-OS是全球首个虚拟安全元件,其先进的加密和网络安全保护功能符合全球标准(EAL 3+评级和FIPS 140-2),如此高的安全等级之前仅用于昂贵的硬件解决方案。


责任编辑:admin

打赏

取消

感谢您的支持,我会继续努力的!

扫码支持
扫码打赏,你说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦

网友评论:

在“\templets\demo\comments.htm”原来的内容全部删除,插入第三方评论代码,如果不需要评论功能,删除comments.html里面的内容即可
推荐使用友言、多说、畅言(需备案后使用)等社会化评论插件

综合资讯
聚鲁网-国际综合资讯平台
本站所有资讯来源于网络 如有侵权请联系
Top