- A+
一位独立研究人员在发现移动恢复过程中的弱点后,获得了30,000美元的漏洞赏金。
一位研究人员在发现Instagram移动恢复流程的弱点后,从Facebook获得了30,000美元的漏洞奖励,该流程允许任何用户通过大规模暴力活动进行帐户接管。
独立研究员Laxman Muthiyah研究了Instagram的移动恢复流程,该流程涉及用户在其手机号码上接收六位数密码以进行双因素帐户身份验证(2FA)。 因此,六位数意味着有100万种可能的数字组合构成代码。
“因此,如果我们能够在验证码端点上尝试所有100万个代码,我们就能够更改任何帐户的密码,”他在周日的帖子中解释道。
虽然在一次性密码到期之前的10分钟内尝试了100万个代码可能听起来很有挑战性,但他说,这种强制攻击可以通过自动脚本和云服务帐户实现。
“在真实的攻击情形中,攻击者需要5,000个IP [地址]来破解帐户,”他说。 “这听起来很大,但如果您使用像亚马逊或谷歌这样的云服务提供商,这实际上很容易。 执行100万个代码的完全攻击将花费大约150美元。“
恢复机制确实具有速率限制保护 - 即,限制来自任何一个IP地址的设定时间内的登录尝试次数。 在Muthiyah的第一次尝试中,他发出了大约1,000个请求,但只有250个请求通过。 但是,他还发现Instagram不会将超过特定时间段允许尝试次数的IP地址列入黑名单,因此他可以在IP地址之间切换以执行连续攻击。
此外,他能够通过发送并发请求来混淆速率限制机制,从而导致竞争条件或危险,使尝试的次数增加一倍。
“我找到了两件让我绕过限速机制的事情: 种族危险和知识产权轮换,”他说。 “使用多个IP发送并发请求允许我发送大量请求而不受限制。 我们可以发送的请求数量取决于请求的并发性和我们使用的IP数量。 此外,我意识到代码在10分钟后到期,它使攻击更加困难,因此我们需要数千个IP来执行攻击。“
他指出,通过前面提到的150美元云计算,他能够展示这种确切的情景,并将他提交给Facebook安全团队的概念验证视频整合在一起。 他们验证了这个问题并向他表示祝贺,并在此过程中支付了30,000美元的赏金。
“在提供上述发送200K有效请求的视频后,Facebook安全团队确信,”Muthiyah说。 “他们也迅速解决并解决了这个问题。”
2FA被打破了吗?
大多数使用移动文本验证的2FA方案涉及六位数的一次性密码,该密码在几分钟内到期,这就提出了有多少服务易受同类攻击的问题。
值得注意的是,基于SMS的2FA还有其他绕道,包括使用名为Modlishka的渗透测试工具,1月份推出,以及去年年底发布的称为迷人小猫归来的APT攻击。 后一个广告系列使用虚假但令人信服的网上诱骗网页要求用户输入他们的凭据,然后攻击者会实时登录到真正的登录页面。 如果帐户受2FA保护,攻击者会将目标重定向到新页面,受害者可以输入一次性密码; 然后攻击者可以接受并将其输入真实页面以获取对该帐户的访问权限。
12月早些时候,一个Android特洛伊木马被发现 ,即使使用2FA,也会从PayPal账户中窃取资金。 作为电池优化工具,它要求过多的可访问性权限,以允许它观察其他应用程序上的活动。 然后它潜伏在手机上并等待有人打开PayPal并登录。因为恶意软件不依赖于窃取PayPal登录凭据而是等待用户自己登录官方PayPal应用程序,它还绕过PayPal的2FA。
不要错过 7月24日星期三美国东部时间下午2点 的免费直播 威胁邮件网络研讨会 “ 精简补丁管理”。 请加入Threatpost编辑Tom Spring和一个补丁专家小组讨论补丁管理的最新趋势,如何为您的企业找到合适的解决方案以及在部署程序时面临的最大挑战。 注册并了解更多信息
