来源:蜘蛛抓取(WebSpider)
时间:2016-02-16 10:14
标签:
苹果id两步验证
关于 Apple ID 两步验证,你需要注意的 7 件事 - 少数派
关于 Apple ID 两步验证,你需要注意的 7 件事
关于 Apple ID 两步验证,你需要注意的 7 件事
编注:本文来自微博用户&&投稿。
前阵子 iCloud 照片门事件被国内外媒体大说特说,其实理性看待应该是这样:
苹果的责任主要在于,没有在网页登录账户的时候防止暴力破解,让攻击者可以无限制的不断尝试输入密码。现在苹果已将其改进为:在你登录网页端 iCloud 的同时,就会发送邮件通知你,便于不是本人登录时能及时做出反应。
消费者自己的责任在于,设置了过于简单的密码,方便了暴力破解。比如密码是你的生日或者邮箱地址或者名字之类的,尤其对于明星等公众人物来说,生日一类的信息已经不是密码。
那么,我们到底应该如何保障帐号安全呢?「两步验证」是一个很有效的解决方案。其实苹果在此之前就已经开始支持两步验证,但并没有作过多宣传,而国内的 iCloud 账户也是今年才支持。鉴于很多人不了解两步验证的实际使用效果,犹豫是否要开启两步验证,开启后会不会很麻烦,我结合自己的体验来谈一谈,供大家参考。
(两步验证的开启过程可以参考这篇)
整个设置下来,可能你会感觉麻烦,但之后的使用过程是简单快捷的。
开启两步验证,苹果官方的 2 点注意事项
1. 必须有「密码」「动态密码」「备用密码」中的任意两个,才能通过两步验证
这个是最重要的一条。比如你丢失了手机,那么你除了知道账户密码外,必须知道备用密码,否则即便找苹果也是解不开你的账户的,同时丢了其中两个,后果只能自负了。目前,开启两步验证后,在网页登陆Apple ID 修改账户信息和登录网页版 iCloud 都需要两步验证。登录 iCloud 的详细步骤如下:
第一步,登录&&,输入账户密码。
点击登陆的同时会有邮件通知。
第二步,确认是本人操作,直接忽略邮件在网页端继续操作,选择使用授信设备或者短信,接收动态验证码。
第三步,查看验证码,并在网页端输入,完成登录过程。
需要注意,在 iOS 设备上登录 iCloud 邮箱和 iMessage、FaceTime 或者 iTunes (PC 的 iTunes 也是)都不需要两步验证。但是,在新设备上登录 iCloud 的部分服务开启时,需要获得已有的授信设备授权,并且会有邮件发到你的邮箱通知。
2. 将「备用密码」写在纸上
苹果还提醒我们最好把生成的备用密码写在纸上。你可以多手写几份,比如办公室和家里各放一份,最好不要存放在电脑或者手机上,即便不备份到网上,也不要在本地存储。
当然就有人想说了:「如果手机丢了,还要回家讨要备用密码的纸条,这个好麻烦。」
其实「备用密码」本来就是备用的,不到万不得已也用不到。那么存在 1Password 类似应用中呢?苹果的官方提示是,不要保存在任何电子介质中。笔者的建议是,可以参考电影《美国队长》中提到的「每个人只知道自己的任务」,以此做到高度保密。密码、动态密码、备用密码任意两个不要保存在相同的地方,你可能会用 1Password 保存 Apple 的主账户和密码,那么就最好不要把备用密码也放在他们一起。
开启两步验证,另 5 点值得注意的地方
1. 设置较强的主账户密码
主账户密码也就是登录密码,建议设置复杂一点,不要使用生日之类的,应该有大小写和数字,至少 8 位,类似 Widl6sihL2ih,借助 1Password 之类的软件管理。
1Password 使用详细可以参考这篇 &。
2. 设置较强的锁屏密码
如果是 5s 之后的设备,锁屏密码设置稍微复杂一点,类似 Adi3sh,便于记忆,但是,注意与主账户密码不要相同。另外,开启锁屏密码后,设备在两步验证接受「动态数字口令」时,查看是需要先解锁的。
需要注意的是:即便是用 Touch ID,在重新开机之后或者 48 小时不使用设备,还是要重新输入锁屏密码才能解锁并且重新启用 Touch ID。因此,锁屏密码不宜太过复杂,但也不能太简单,而且必须要记住,强烈建议开启复杂锁屏密码,具体操作为:进入「设置」-「Touch ID 和密码」- 关闭「简单密码」选项。
了解更多有关锁屏密码的内容,可以参考这篇 &。
3. 关闭信息预览
这一点可能是我多虑了。因为默认情况下,手机如果有锁屏密码,对方获得了你的账户密码,登录账户管理页面,那么他可以选择是发送「动态数字口令」(通过 Find My iPhone 的网络)或者短信。前者在手机上需要解锁,后者对方则不需要解锁就能看到短信。
「关闭信息预览」对于追求方便查看和回复短信的普通用户来说(尤其 iOS 8 可以快捷回复),便捷性就没有了,锁屏状态必须解锁进入短信页面才能查看。不过如果你已经解锁了,屏幕顶部的横幅通知,还是可以下拉查看和快捷回复的。
具体操作步骤为:进入「设置」-「通知」-「信息」- 关闭「显示预览」选项。
4. 设置 SIM 卡的 PIN 码
这一点是接上一条讨论的进阶版本。极端情况下,即便你设置了锁屏密码,关闭了信息预览。对方还是可以拔掉你的手机卡,放到另一台手机上看到短信。经了解,我们可以开启手机 SIM 卡的 PIN 码,这样,即便重新开机(刷机)或者放到新手机里使用,旧的 SIM 卡需要输入 PIN 码才能使用。但是由于国内运营商都是淡化 PIN 码宣传的,所以我本人也没用过。
5. 应用独立密码
在最新版本的 iCloud 中,Apple 已经支持在开启两步验证后,可以设置最多 25 个独立的应用密码。关于独立应用密码的解释,由于苹果目前的相关文档仍是英文版本,所以在此参照微软的&&说明:
在启用两步验证后,某些应用(例如某些手机上的邮件应用)或某些设备将显示密码错误,因为它们无法在你尝试登录时提示你输入安全代码。
如果你已启用两步验证并在应用或设备上看到了密码错误提示,你将需要获取并输入一个唯一的应用密码来登录。 一旦使用应用密码登录,你将可以使用该应用或设备。 你将需要为每一个无法提示你输入安全代码的应用或设备创建新的应用密码并使用该密码登录。
有关应用独立密码这方面的内容,笔者目前自己刚刚上手,也不甚了解,在此不再深入探讨。
这么一番下来,根据我自己的体验,借助 1Password 工具,其实我只需记住 1Password 的登录主密码和我设备的锁屏密码两个即可,而备用密码由于写在纸上,只需妥善保管不用记忆。
之前有国外媒体报道关于 iCloud 照片泄露事件,质疑苹果为何不强制开启两步验证,从我个人观点来看,无论是推广两步验证的谷歌,还是国内利用类似机制的阿里巴巴、腾讯(借助专门的手机客户端管理账户安全),都没有强制开启这种安全验证功能,毕竟保障更高安全性的同时,是牺牲了便捷的使用体验,这并不是所有用户都愿意的。
综上所述,虽然开启两步验证需要有如此多注意事项,但是如果你和笔者一样注重隐私,那么我依然强烈建议你开启此功能,以最大限度地保障自己的帐号和数据安全。
分享到微信
Email 登录
商务&合作:
投稿&报道:
微信订阅二维码为保手机安全,两步验证很有必要|手机|苹果_凤凰资讯
为保手机安全,两步验证很有必要
用微信扫描二维码分享至好友和朋友圈
如果是这种情况的话,苹果客服就要求机主提供手机购买发票、保修证明、手机的原始包装,还有手机锁屏的截图。依据这些信息,苹果公司会对机主进行审核,证明和机主的所属关系。“苹果客服说,预计在7~15个工作日内给我回复。”马先生说。
原标题:为保手机安全,两步验证很有必要 制图/郑萌临近春节,又到了小偷猖獗的时候。最近,就有“小偷”盯上了苹果手机Apple ID。这些不法分子通过“查找我的iPhone”功能再将手机锁定。之后,再跟机主联系,需要机主缴纳费用才可以解锁。很多网友建议,想要保护手机密码,还要给Apple ID上个双保险,开启两步验证。【事件回顾】iPhone变“板砖”解锁要500元近日,郑州市民马先生的iPhone 6 Plus无故被锁死,一夜之间变成“板砖”。据马先生回忆,手机上曾出现一个“Apple ID已锁死”的对话框,点击解锁账户后,需要填写ID密码。谁知填了没多久,手机就变成了“丢失模式”,手机被锁死,什么都操作不了。“后来,我的邮箱就收到了一封邮件,里面有一个编号,还有一个号。邮件里说,要想解锁手机,就加QQ号联系。”马先生添加该QQ号后,对方表示可以恢复手机的短信、通话功能,但是要给500元手续费。一听说要钱,马先生意识到密码很可能已经被盗。之后,他又联系了苹果的客服,客服表示,马先生的Apple ID已经被盗,想要找回密码,需要提供之前提供的密码保护问题重新激活手机。马先生这样的遭遇,并不是个案。记者在网上搜索“苹果ID被盗”字样,相关结果约有890万个。全国各地有不少iPhone用户都曾“中招”。盗取邮箱 利用“查找我的iPhone”行骗最令马先生纳闷的是,手机没离开过自己,密码也没告诉过别人,Apple ID怎么泄露的呢?苹果客服人员表示,很多手机用户的Apple ID是和QQ账号绑定的,不法分子会向QQ邮箱发送非法链接的邮件,让手机用户登录假冒的苹果官网,窃取其账号和密码。然后这些“黑客”在苹果官网登录后,将机主注册Apple ID的邮箱改掉。之后,他们会再登录官网,利用“查找我的iPhone”功能,将手机远程锁定,抹去其中的资料。马先生的Apple ID被盗后,虽然打电话给苹果客服求助,但是他忘记了自己当时设置的密保问题。如果是这种情况的话,苹果客服就要求机主提供手机购买发票、保修证明、手机的原始包装,还有手机锁屏的截图。依据这些信息,苹果公司会对机主进行审核,证明和机主的所属关系。“苹果客服说,预计在7~15个工作日内给我回复。”马先生说。开启两步验证法 增大安全系数不想Apple ID被盗,怎么办?手机论坛上的“大神”们也都给出了高招。在手机提示输入Apple ID和密码的时候,一定注意域名是否为官方网址,如果手机弹出“Apple ID已锁定”的图片时(如右图)时,不要点击解锁账户,点击“取消”。之后要马上登录官网,更改密码。在平时使用手机时也要时刻注意保护个人手机安全。在公共场所,尽量少使用免费Wifi,避免登录钓鱼网站,被人盗取密码。下载第三方应用软件时,要从官网下载。平时,不要和别人共享ID账户,还要把手机里的资料进行备份。手机不用后,要记得将其中的密码、资料删除或更改。另外,记者在一些论坛中发现,很多网友建议,为提高Apple ID的安全系数,可以开启两步验证模式。Apple ID 两步验证是一种更加有利于账号安全性的服务,开启该服务后,机主在管理自己的Apple ID或进行修改密码时都需要进行此项验证,它会给你设置的受信任的iOS 设备或密保手机发送验证码,相当于一个动态口令。开启两步验证后,无论机主在任何终端登录Apple ID,除了输入邮箱和密码,苹果还会额外向绑定的设备上发送动态口令,即使有人窃取了机主邮箱和密码,但如果没有这个动态验证码,依然无计可施。还有网友建议,设置较复杂的密码也是保护方法之一。同时如果设置了手机本地的Touch ID和密码,即使对方远程锁定了你的iPhone,你还是可以直接解锁手机以取消“丢失模式”。
用微信扫描二维码分享至好友和朋友圈
凤凰资讯官方微信
播放数:1394772
播放数:909207
播放数:645562
播放数:5808920
48小时点击排行我是如何绕过Google和Facebook等大站的两步验证的 - 博客 - 伯乐在线
& 我是如何绕过Google和Facebook等大站的两步验证的
我记得在两年前,两步验证(2-Factor-Authentication, 2FA)变得非常普及并且在各大主流网站(Google, Facebook, Yahoo 等)广泛应用。那时我十六岁,天真的我想不通为什么这么天才的想法之前没有人想到过。在那时,我认为2FA就是一个可以保护自己的金色盾牌,它可以抵御那些最复杂的网络欺诈。
当两步验证依旧是你所使用的主要应用的金色盾牌时,我开始列出以下文档—我是如何用一系列的方法来绕过Google, Facebook, Yahoo, LinkedIn的两步验证以及几乎任何向语音信箱发送两步验证标记的服务的。
注:超过959万的澳大利亚Optus公司的手机用户会受到我下面所说的语音信箱的攻击。这959万使用两步验证的用户中任何一人,都很有可能会受到我下文所说的绕过两步验证的攻击。
两步验证的分析,概念以及流程
两步验证的分析
当将两步验证看做一个整体时,从一个攻击者的角度看来仅仅有这些东西。在我第一次对两步验证的分析中,我经常在想是否可能进行以下的攻击:
暴力搜索两步验证的pin码(有一些服务,比如苹果,只有四位的pin,并且几乎没有任何频率的限制)。
发现pin生成的漏洞。
通过某种方法窃取两步验证后的session标记,这样攻击者可以不用通过两步验证就登录账户。
以上技术都是攻击的有效手段,但是通常没有人会使用,因为这些手段太老套了,已经有了相应的防御。
在我经历过这个初步测试的阶段后,我列举了更多的东西,意识到一定有一个弱点能够让我们完全避开两步验证。这个弱点就是语音信箱。
有些读者可能会知道为什么语音信箱容易出问题,因为他们可能听说过2009年英国某些名人的语音信箱被黑客攻击的丑闻。他们进入语音信箱的方式相当让人担心,分为以下几种:默认的语音信箱PIN,未设置语音信箱PIN以及拨打自己电话的方法—都在中写到过。
在另一起类似的事故中,Cloudflare公司的CEO也是通过语音信箱绕过两步验证的受害者之一。然而,在这一次事件中,攻击更为复杂,要求攻击者设法使得AT&T(美国电话电报公司)的员工将Matthew Prince的语音信箱重定向到一个假的语音信箱处。
-那些我用来登录到语音信箱账号(仅限于那些已经授权的用于测试的账号)的方法在很久以前我就写过了,并且执行起来并不难。
虽然进入语音信箱的方法受到越来越多的关注,但是这一方法并不适应部分国家的大多数网络。
概念及攻击流程
作为一个攻击者,你需要知道四件事情,才能进入被攻击者被两步验证保护的账号中。它们包括:
被攻击者的用户名/邮箱和密码。
被攻击者关联到两步验证服务的手机号。
一个手机号欺诈服务。
手机语音信箱远程登录的账号。
在现实中,作为一名富有经验的攻击者,以上四点要求并不难达到。获取用户名和密码可以通过任何传统的方法做到,获取关联的手机号码在现在也并不困难。
手机号欺诈服务,比如(可以显示虚假的手机号码的服务)仅仅花费十美元就可以多次使用并且可以获得手机语音信箱的端点。另外,如果想要避免Spoofcard的登记,他们可以雇佣VoIP服务,打电话人的ID可以是虚假的,作用是一样的。
攻击第一阶段:
攻击者在支持两步验证的网络应用上登录被攻击者的账号。
攻击者向被攻击者的手机号拨打电话(只需要20-30秒即可)
在此之后立即选择两步验证的选项要求通过电话发送两步验证的验证码
由于被攻击者正在跟攻击者通话,两步验证的电话服务就会立即将验证码发送到被攻击者的语音信箱里。
这是第一个漏洞。我是这样认为的,大家或许不同意,但是我想不出别的使验证码发送到语音信箱的方法了。由于这种方法的易用性,这样做的时候有一点危险。根据过去几年的语音信箱黑客的情况来看,通过向语音信箱发送pin,看起来好像不用管下面我将要告诉你们的第二个漏洞,直接就可以绕过两步验证。
当被攻击者没有接两步验证的电话时,两步验证的pin码也会被发送到语音信箱中。
绕过两步验证的第二阶段实际上依赖所谓的语音信箱窃听/电话窃听。
上图是应用于澳大利亚的和我的整个第二部分的方法,它只是和上述移动服务运营商相对应(在未发现其他的运营商之前)。在图中,我展示了我认为容易受到语音信箱攻击的网络以及其他部分或者完全不易攻击的网络。
另外,我必须指出,英国的Three 和EE网络也很容易通过电子欺骗受到语音信箱攻击。这一点最近被英国的证实。
完全易受攻击的:
Telco公司的自动数字识别(ANI)或者是Caller ID是用来判断呼叫者是否是语音信箱账户的合法拥有者。如果ANI或Caller ID和账户持有者相匹配,在进入语音信箱账户时系统就不会要求输入pin码。
在美国,可以不通过Caller ID来请求pin码,然而在澳大利亚,据我所知除非服务提供商从他们的服务上来解决问题,否则没有可以预防语音信箱受到欺诈攻击的办法。
通过网络语音电话业务运营商或者专门的欺诈服务提供商获得ANI/Caller ID欺诈服务。
在上文列出的所有的所有易受攻击的服务中,输入目标号码为+.
输入被攻击者的手机号作为要显示的Caller ID.
如果你在使用SpoofCard(可以显示虚假的手机号码的服务),你会收到一个手机号和一个访问码。拨打这个手机号码并输入访问码。
你会连接到被攻击者的语音信箱服务提供商的终端上。在这里输入被攻击者的手机号并按#键、
你现在会拥有被攻击者语音信箱的全部权限。这甚至包括可以改变用户pin码或者是欢迎音乐的权限。
为什么目标号码是+:
澳大利亚有三大主要的移动业务运营商:Telstra, Optus和Vodafone。
Telstra, Optus和Vodafone可以转售他们的服务,因此业务可以拓展到其他的提供商处。
所有的中间商用和Optus相同的主要服务(例如账号信息热线,语音信箱服务等)。
因此,如果攻击者能够开发任何三个电信提供商其中的任何一个服务的话,每个下属的服务提供商也很有可能受影响。
Optus呼叫语音信箱的主号码是“321”。
然而,当进行欺诈攻击时,由于我们不能呼叫“321”我们需要远程号码去呼叫。
Optus为在海外的用户提供了一个可以呼叫的远程号码,这个号码就是:+,并且这个可以作为任何提供欺诈服务的终端。
注意:Optus语音信箱中任何易被攻击的端点都已经被固定了,包括我曾经用来绕过他们的端点。
部分易受攻击/不易受到攻击的:
我说过Telstra, Virgin和 Vodafone是部分易受攻击或不易受到攻击的,因为我并没有机会彻底测试攻击语音信箱的能力。然而我的确知道:
Telstra不管是什么Caller ID或者是ANI都要求一个pin码,因此对于我上文描述的破解来说是安全的。
Vodafone在未设置pin码的情况下,如果我通过欺诈服务冒充你的号码拨打,会让我设置pin码或者是进入你的语音信箱。
Virgin Mobile我并未测试,然而由于它是Optus网络的一部分,因此它很有可能是易受攻击的。
你如果不确定你现在使用的是哪种网络,或者你想检查一下自己是否是易受攻击的,我的一个朋友(()写了一段程序通过你的手机号来确定你的在澳大利亚的移动网络。你只需输入你的手机号然后点击check就可以了。
你可以在上找到检测移动网络的代码。
向谷歌安全团队揭露
谷歌是两步验证的早期使用者,它的全部服务都使用了两步验证。如果你所选择的电话公司在语音信箱安全方面管理非常严格的话,谷歌现在使用的两步验证系统还是非常安全的,但是谷歌所提供的两步验证可以绕过的概率其实是非常高的。
假设你现在已经阅读了上文中提到的破解步骤,使我能够绕过两步验证的Google, Facebook, Yahoo 等其他主要的支持两步验证服务的漏洞是当你不在线时,两步验证会发送两步验证标记到你的语音信箱中。单看这一点,这是个很小的问题,但是站在安全的角度上来看,这个漏洞是非常明显的。
语音信箱并未实现全球统一化,它的安全性也是一样的。每个电话公司都运行他们自己的语音信箱管理服务。
语音信箱服务的安全并不由谷歌管理而是由电话商管理。
一旦两步认证的标记或者OTP在语音信箱中,有许多可以攻击的因素,可以撤销标记而不改动谷歌端的数据。
如果你想看我和谷歌对话的全部邮件记录,你可以点击这里。
注意:通过这个绕过两步验证的方法并不能不动声色地来盗取谷歌账户,因为很有可能一旦登录到支持两步验证的谷歌账户中就会自动向用户发送信息。在前面的步骤中你必须选择拨打电话的方式然后继续破解。这样很可能会引起受害者的警觉。
他们对我最初的破解的回复如下:
谢谢你的错误报告。我们已经看了你提交的数据并且确信这不是谷歌产品的安全缺陷。这个攻击假设了一个易被盗取的密码,并且实际的易被攻击性是由于电话商提供的对语音信箱的保护不够充分导致的。请直接向电话商报告这些。
虽然我知道语音信箱系统不够安全这是电话商的错误,我仍然觉得谷歌把两步验证标记发送到语音信箱这一做法有缺陷,这是个很危险的做法,并且大部分2FA提供商都不这样做。因此,我作出了以下回复:
Hi, Jeremy,
当我发现这些漏洞时,我完全理解并且我也和电话商在不断联系。
澳大利亚和英国的大部分电话商都只要求一个并未锁定的四位的pin码。然而,使用VoIP服务以及Asterisk AGI()的一些脚本就在一天内可以进入语音信箱的账号。
实质上,虽然你说的“这一定是电话商的问题”是对的。这不仅意味着在最近四年里(或更多),在澳大利亚使用Optus提供的服务的人(澳大利亚的大部分人)是非常容易受到绕过两步验证攻击的,这也意味着许多国家的电信商也非常容易受相同种类的攻击。
我觉得把这个问题说成是一个纯粹的电话商的问题,会有点忽略掉两步验证并没有很好的理由来发送到个人的语音信箱里这个事实。另外,先不考虑由于外部的易受攻击性使得谷歌的两步验证可以被绕过这件事,谷歌这样做事实上还是会把敏感信息交给一个可能易受攻击的终端。
另外,在做了一些调查后,我能够跟Duosecurity 和Authy的专门负责两步验证的工作人员交流了。当我第一次发现谷歌发送两步验证的标记到语音信箱时,我非常肯定像Duosecurity 和Authy这样的两步验证服务提供商也是易受攻击的。但是我错了,他们并不会将两步验证标记发送到语音信箱。他们是这样处理这个问题的:
- 在通过语音发送PIN码或者两步验证标记时要求用户的某些交互行为。
- 在语音信箱留下一个空白信息而不是pin。
-要求用户的交互作为验证的方式(接到两步验证的电话-&告诉用户按下数字键”x”-&如果正确按下=确认,如果没有=未确认)
请让我知道你对此有何看法以及谷歌是否有应对这种情况的措施。十分显然这个问题是由于电话商的不安全的语音信箱服务造成的,然而这并不是谷歌或者是我可以控制的因此使得两步验证在某种程度下易受攻击。
两步验证对于那些将Optus手机号和谷歌账户绑定到一起的澳大利亚人来说是无效的,并且至少近四年是无效的(假设其他人已经知道Optus语音信箱的漏洞了)。
谷歌很快回复道:
感谢你解释这个问题的潜在作用域。
由于这并不是我们2SV系统在技术上的缺陷,我不确定我们能够做些什么来应对这个问题。但是我已经把一个bug记录下来并且会让团队成员来看一看。
假设这个问题不能修正,因此目前解决这个问题的最好方法就是禁用通过短信或者电话的两步验证,启用谷歌的两步验证,如果你绑定到手机就可能容易受到攻击。
这个设置方法可以在下面找到:
另外,当不确定时,可以通过下面的方法通过两步验证来还原谷歌账户:
我自己还原账户时失败了,我的朋友也是一样的。然而一段时间以前,成功地还原了账户。
状态: 仍然易受攻击/并不会修复 | 揭露时间: Wed, Apr 30, 2014 at 11:49 AM
———————————————————————————————————————————————————–
向Facebook安全团队揭露
因为我的一个失误,在这次揭露之前我刚刚意识到可以用攻击谷歌的类似方法来攻击Facebook。Facebook称他们的两步验证是一个类似于登录通知的特点,但是有额外的安全步骤。
用和上述步骤相同的流程来破解,同样可以绕过Facebook的两步验证。
让Facebook发送验证码到语音信箱的步骤如下:
登录账户。
点击“通过短信发送验证码”。
会显示出拨打电话的选项。
通过拨打被攻击者电话或其他方法保证被攻击者处于通话状态。
点击“电话通知验证码”选项。
验证码会被发送到语音信箱中。
另外,除了上述模式,也可以通过向”“发送表单数据为”method_requested=phone_requested”的请求。
这个方法是通过截取最初发送短信的请求,将”sms_requested”替换为”phone_requested”来实现的,它是最有效地方法。
你可以在这里找到我向facebook 披露这个漏洞的完整版本.
然而,他们对此的回复如下:
Shubham 你好,
我们目前暂时禁用了通过电话来发送登录验证码的功能,未来还将进一步研究。我们的计划是当可以实现用户在通话中的交互时再重新启用这一功能,这样就可以防止我们将验证码发送到语音信箱中。
Neal, Facebook 安全团队
Facebook在我绕过两步验证之后迅速的禁用了部分功能,他们非常迅速地采取了措施,至少是临时的措施。
状态: 不再会受攻击| 揭露日期: Sun, May 11, 2014 at 10:28 AM
向 LinkedIn安全团队揭露
正如谷歌和Facebook一样,当被攻击者没有接到系统自动来电或者占线时LinkedIn就会将两步验证码发送到被攻击者的语音信箱中。
LinkedIn处理地很好,他们关闭了通过电话发送两步验证码这个功能,直到他们可以和第三方的两步验证提供商来修复这个问题。
你可以在这里看到我和LinkedIn发送的所有邮件.
他们对这一问题的主要回复如下:
Shubham,你好
感谢你在公开这个问题之前告诉我们。
虽然这个问题对我们的影响是有限的,但是我们暂时关闭了发送两步验证码的语音的功能。我们正在和第三方协商解决这个问题。在问题修复后,我们会考虑恢复语音功能。
状态: 不再会受攻击| 揭露日期: Wed, Apr 30, 2014 at 4:15 AM
向雅虎团队揭露 (通过HackerOne)
雅虎支持两步验证的主要服务也容易受到我上文中所说的攻击。事实上,对支持两步验证的雅虎账号的攻击会更严重因为攻击者并不用担心被攻击者知道他的账号已经登录。
通常支持两步验证的网络应用会在有人登录后发送短信通知。然而,当登录到雅虎账号以后,并不会发送短信,并且可以选择通过短信或者是电话来发送验证码。
由于攻击者不用冒着被立刻知道的风险,攻击者会更有可能登录更长时间。
当我揭示这个问题14天后,雅虎仍然没有回复,因此他们仍然很容易受到攻击。
在这里可以看到我揭示雅虎漏洞的全过程
状态: 仍然易受攻击/尚未回复 | 揭露日期:
13:46:16 UTC
向 Authy & Duosecurity揭露
我很快假设那些提供两步验证的服务都一定是易受攻击的。然而,我是错误的—因为他们知道这个事实并且对发送pin码到语音信箱这个问题有着长远考虑。
你可以阅读我和Authy 及 Duosecurity的来往邮件 and
这两个服务提供商都在24小时内给了我回复,并且他们对此都非常热心。
Authy | 状态:不易受攻击 | 揭露日期: Wed, Apr 30, 2014 at 1:27 AM
Duosecurity | 状态:不易受攻击 | 揭露日期:
13:46:16 UTC
Authy会发送空白的语音信息,Duosecurity会在验证前要求用户的交互操作。
缓解技术和向电话商 Telco 揭露:
广大的读者你们好,我校对了上面的一些信息,包括世界各地各种移动网络的终端。
由于我不能查对 Telco 的海外电话商,我 知道世界各地的人都关心他们的电话商是否是易受攻击的。
要看你是否可以通过欺诈服务不用pin码就进入语音信箱,仅需要跟着上午所说的流程来,将终端号码改为你的电话商用的。
如果你的电话商也容易受到攻击请通过邮件或者是评论来告诉我。
应对这个问题并没有想象中的那么简单,这要求重新构造两步验证的电话通知。这里是一些建议的解决方法(在给那些公司的邮件里都提到过):
要求用户的交互作为验证(推荐)
以语音信箱检测结束通话(不可靠)
最后也是最重要的:
去除语音通话发送验证码的功能(减少了用户体验)
向 Optus揭露
我和一起工作很愉快(The Sydney Morning Herald and The Age的编辑),他帮助我把这些问题反映给Optus并且在此过程中非常热心也很有合作精神。
当我第一次发现Optus是易受攻击的时候,我的研究让我注意到这篇文章
Optus很严肃认真地对待顾客的隐私。顾客必须设置一个独一无二的PIN码来激活他们的语音信箱系统。当他们的PIN码被用户服务重新设置时,Optus会建议他们重新设置一个只有他们自己知道的PIN码。
至于欺诈服务,我们正在寻求多种方式来强调这一正在出现的整个工业界的威胁,包括技术上的解决途径以及进行对顾客的教育。
这篇文章的日期是号,距今已经三年了,令人惊讶的是这个问题依然存在并且是一个关于隐私的巨大隐患!
我和Ben在日将这个问题告诉了Optus,从那以后七天左右Optus修复了这个问题。
然而,在修复以后几个小时之内,我能够又一次找出不用pin就可以进入任何Optus顾客语音信箱的方法。Optus正在研究这样的绕过方法,但是在没有其他公告之前,如果你使用Optus或者其他使用他们网络的代理商的服务,请假设你的语音信箱是不安全的,比如Vaya, LiveConnected, Amaysim, Exetel, Yatango 等等。
正如同我之前对于, 和 的迷恋一样,我认为语音信箱和移动网络的安全会占用我未来的许多时间。
每个人都知道移动网络的安全性很差,但是都没有做出什么改变,直到我们因此受到侵害才能意识到这件事情的重要性。
如果你想要跟进我的语音信箱的研究,我会根据电话商的回复来定期更新我的twitter.
以下服务可能会受到影响,但是我并没有彻底去检测:
Egnyte (Uses DuoSecurity 2FA and hence is not vuln until further notice)
另外有已确认是易受攻击的:
< (Found by )
感谢你的阅读,我希望你能够觉得这篇文章有用。
关于作者:
可能感兴趣的话题
这个老外好叼的样子,赶紧关注下他的Twitter
关于伯乐在线博客
在这个信息爆炸的时代,人们已然被大量、快速并且简短的信息所包围。然而,我们相信:过多“快餐”式的阅读只会令人“虚胖”,缺乏实质的内涵。伯乐在线博客团队正试图以我们微薄的力量,把优秀的原创/译文分享给读者,做一个小而精的精选博客,为“快餐”添加一些“营养”元素。
新浪微博:
推荐微信号
(加好友请注明来意)
– 好的话题、有启发的回复、值得信赖的圈子
– 分享和发现有价值的内容与观点
– 为IT单身男女服务的征婚传播平台
– 优秀的工具资源导航
– 翻译传播优秀的外文文章
– 国内外的精选文章
– UI,网页,交互和用户体验
– 专注iOS技术分享
– 专注Android技术分享
– JavaScript, HTML5, CSS
– 专注Java技术分享
– 专注Python技术分享
& 2016 伯乐在线
赞助云主机
