İki aşamalı doğrulama SMS'i: Ününden bile daha kötü bir güvenlik yöntemi

 (ccc.de)
2 puan yazan GN⁺ 2024-07-12 | 1 yorum | WhatsApp'ta paylaş

  • Tek kullanımlık parolalar ve SMS

    • Tek kullanımlık parolalar çoğu zaman SMS üzerinden gönderilir
    • CCC'nin güvenlik araştırmacıları, 200'den fazla şirket tarafından gönderilen 200 milyondan fazla SMS mesajına gerçek zamanlı erişim sağladı

  • SMS ile iki faktörlü kimlik doğrulama (2FA-SMS)

    • 2FA-SMS, kimlik doğrulama güvenliğini artırmak için kullanılan bir yöntemdir
    • Statik parolaya ek olarak SMS ile gönderilen dinamik bir kod gerekir
    • Kullanıcı giriş yaparken bu kodu girmelidir; bu da parolayı (birinci faktör: bilgi) ve telefon numarasına erişim yetkisini (ikinci faktör: sahiplik) kanıtlar
    • Yalnızca çalınmış bir parola ile kullanıcının hesabı ele geçirilemez

  • İyi bilinen saldırı vektörleri

    • SIM swapping veya mobil ağdaki SS7 zafiyetleri kullanılarak saldırganlar SMS mesajlarını ele geçirebilir
    • Phishing saldırılarıyla kullanıcıların tek kullanımlık parolalarını ifşa etmeleri sağlanabilir
    • CCC, 2013'ten beri SMS'in ikinci faktör olarak kullanılmasını önermiyor
    • Buna rağmen 2FA-SMS yaygın biçimde kullanılıyor ve yalnızca parola tabanlı kimlik doğrulamadan daha yüksek güvenlik sağlıyor

  • Artık internette de görülebiliyor!

    • CCC, 2FA-SMS'e yönelik daha önce gözden kaçmış bir saldırıyı gösterdi
    • Hizmet sağlayıcılar, çeşitli şirket ve hizmetler adına büyük hacimde SMS gönderiyor ve SMS içeriğine erişebiliyor
    • Bu nedenle kimlik doğrulama sürecinin güvenliği bu sağlayıcıların güvenliğine bağlıdır

  • IdentifyMobile'ın hatası

    • IdentifyMobile, tek kullanımlık parolaları gerçek zamanlı olarak internette paylaştı
    • CCC bu verilere tesadüfen erişebildi
    • Sadece idmdatastore adlı alt alan adını tahmin etmek yeterliydi
    • SMS içeriklerinin yanı sıra alıcıların telefon numaraları, gönderici adları ve diğer hesap bilgileri de görünüyordu

  • 200'den fazla şirketten 200 milyon SMS

    • Google, Amazon, Facebook, Microsoft, Telegram, Airbnb, FedEx, DHL dahil 200'den fazla şirket etkilendi
    • Toplam 198 milyon SMS sızdırıldı
    • Sadece gerçek zamanlı akışı izleyerek bile WhatsApp numaraları ele geçirilebilir, finansal işlemler yapılabilir veya parola biliniyorsa çeşitli hizmetlerde oturum açılabilirdi

  • (Henüz) bir felaket değil

    • SMS kodlarını kötüye kullanmak için genellikle parola da gerekir
    • Ancak veriler arasında "1-click login" bağlantıları da vardı
    • Bazı büyük şirketlerde yalnızca IdentifyMobile'ın koruduğu belirli hizmetler etkilendi
    • IdentifyMobile'ın dikkatsizliği, şirketleri ve müşterileri büyük bir riskle karşı karşıya bıraktı
    • Veri koruma birimlerine benzer başvurular dünyanın dört bir yanından akıyor

  • Verileri saklamadık

    • Ancak başkalarının erişmiş olma ihtimali dışlanamaz

  • 2FA-SMS, hiçbir şey olmamasından iyidir ama başka yöntemler kullanılmalı

    • Uygulamada üretilen tek kullanımlık parolalar veya donanım token'ları kullanmak daha güvenlidir ve mobil ağdan bağımsızdır
    • Bu seçenek mümkünse bunun kullanılması tavsiye edilir
    • Ve her türlü ikinci faktör, yalnızca parola kullanmaktan daha iyidir

GN⁺ Özeti

  • Bu yazı, SMS tabanlı iki faktörlü kimlik doğrulamanın güvenlik zafiyetlerini ele alıyor
  • IdentifyMobile'ın hatası nedeniyle 200 milyondan fazla SMS sızdırıldı; bu da birçok şirket ve müşteri için büyük risk oluşturdu
  • 2FA-SMS, yalnızca paroladan daha güvenli olsa da uygulama tabanlı tek kullanımlık parolalar veya donanım token'ları kullanmak daha iyi
  • Yazı, güvenlikle ilgilenen kişiler için faydalı ve SMS tabanlı kimlik doğrulamanın riskleri konusunda uyarıyor

İlgili okumalar

1 yorum

 
GN⁺ 2024-07-12
Hacker News görüşü

  • Aile dostunun, Google Ads üzerinden yönlendirilen bir phishing saldırısına maruz kalma deneyimi paylaşılıyor

    • Saldırgan, "BANKNAME login" gibi arama terimleri için reklam veriyor
    • Sahte siteye 2FA kodunu girdi, ancak ikinci bir kod daha istendi
    • İkinci kod, yeni bir "pay anyone" alıcısı eklemek için kullanıldı
    • Sonunda para kaybetti ama daha sonra geri aldı

  • İki banka hesabı var; biri SMS 2FA, diğeri uygulama kullanıyor

    • Uygulamanın varsayılan olarak daha güvenli olduğunu düşünüyordu, ancak bazı durumlarda SMS daha iyi olabilir
    • İdeal 2FA, işlem türüne göre farklı tokenlar üretmeli

  • SMS 2FA’yı zorunlu kılan şirketlerin güvenliği önemsemediğinden, sadece telefon numarasını istediğinden şüpheleniliyor

    • NIST, SMS 2FA kullanılmamasını öneriyor
    • Birçok banka, root edilmiş telefonlarda uygulamayı çalıştırmadığı için SMS 2FA’yı dayatıyor

  • ChatGPT 4 kullanılarak banka web sitesinin ekran görüntüsü analiz edilip phishing olup olmadığı kontrol edilmiş

    • URL’de tek bir harf değiştirildiğinde bunu bir phishing girişimi olarak algılıyor
    • Model, ekran görüntülerini otomatik analiz ederek meşru olup olmadığına karar verebilir

  • Birleşik Krallık’ta çevrimiçi banka işlemlerinin neredeyse tamamı SMS ile doğrulanıyor

    • Bunun yasal bir gereklilik gibi göründüğü söyleniyor
    • Önceki kart + kart okuyucu + PIN doğrulama sistemi daha güvenliydi
    • Bunun kötü bir tercih olduğunun fark edilip düzeltilmesi umuluyor

  • Makale iki farklı güvenlik sorununu birbirine karıştırıyor

    • "1-click login" bağlantıları, yalnızca SMS erişimiyle bile riskli
    • 2FA kodları ikinci faktör olduğundan ve parola da gerektiğinden daha az endişe verici

  • İsveç bu sorunu BankID ile çözmüş durumda

    • Kamu ve özel kurumlar arasındaki iş birliği sayesinde mümkün olmuş
    • Devlet hizmetlerinde ve çoğu bankada giriş ile 2FA için kullanılıyor
    • Diğer ülkelerde veya AB genelinde böyle bir sistemin olmaması şaşırtıcı

  • S3 bucket’taki mesaj her 5 dakikada bir güncelleniyor

    • Sadece Twilio Verify (2FA API) değil, bu sağlayıcı üzerinden gönderilen tüm SMS’ler etkileniyor

  • Birden fazla finans kurumu SMS 2FA istiyor ve HOTP/TOTP seçeneği sunmuyor