欢迎访问文传商讯!

您的位置: 文传商讯 全部新闻 → 大部分移动身份验证器应用存在设计缺陷,易遭黑客攻击

全部新闻

大部分移动身份验证器应用存在设计缺陷,易遭黑客攻击

发布时间:2021-10-13 10:29


最新研究显示,即使拥有硬件安全防护,大部分移动身份验证应用依然存在重大漏洞

新加坡--(美国商业资讯)--数字化发展正推高人们对强大数字化身份功能的需求。麦肯锡近期发布的一份调查1报告显示,新冠肺炎疫情显著加快了全球的数字化进程。大部分受访者称,自己与用户或客户的互动中至少有80%是通过数字化方式进行的,而疫情前仅为58%。遗憾的是,各类组织机构也因此遭受了越来越多的网络攻击,攻击形式大多为勒索软件攻击以及网上账户和金融账户劫持。

这种状况反而促进了多重验证市场的增长。ResearchAndMarkets.com估计,2020年多重验证市场的规模高达106.4亿美元(到2026年,市场规模约增至283.4亿美元2)。对于银行、金融服务或电子政务应用而言,这意味着它们应采用某种双重验证技术(2FA),通常包括通过短信发送的一次性密码(OTP),以及由硬件令牌或移动身份验证器应用生成的代码。

遗憾的是,经证实,通过短信发送的OTP并不安全,容易被拦截及遭受网络钓鱼攻击。硬件令牌的安装成本高、使用不便,还需要定期更换。移动身份验证器被人们视为更为安全、方便的选项,许多身份验证器具有用于生成OTP代码的密钥,由手机内置的专业硬件(称为可信执行环境或TEE)保护。

但“更安全”不一定意味着“完美”,一项针对以往被人忽略的设计缺陷的最新研究进一步证实了这点。

最令人苦恼的是,如果身份验证器本身不可靠,那么数字服务就会被恶意软件操控,或被不法分子进行逆向工程操作,最终可能导致账户劫持、数据泄露、网络欺诈或更严重的后果。

作为全球首个虚拟安全元件的开发企业,新加坡软件型数字安全公司V-Key最近发布了一份白皮书,揭示大部分移动身份验证应用如何遭恶意软件攻破。不论手机提供何种硬件防护,这实际上都难以避免。

大部分身份验证应用采用密钥来生成代码,用于验证用户身份。这些应用就像是藏宝箱,只有这些密钥才能打开。如果这些密钥被盗,黑客就能利用“劫来的密钥”,假冒用户验证交易或签署文件。正基于此,大部分身份验证应用都竭力采用最安全的密钥存储技术。

众多开发人员认为,这就相当于手机的可信执行环境。在安卓手机中,这被称为StrongBox Keystore。在苹果手机中,这被称为iOS Secure Enclave(它有一个名为Keychain的配套软件,用于存储密码等加密数据)。

V-Key首席技术官Er Chiang Kai表示:“遗憾的是,它们的架构设计普遍存在缺陷,容易被黑客攻击。我们发现恶意软件可以用来获取目标人群的验证器密钥,便于黑客进行未经授权的交易或签署伪造文件。越狱手机、根设备或易受所谓‘特权升级漏洞’影响的机型尤其如此。我们把这种设计缺陷称为‘信任缺口’。”

这到底是如何运作的呢?试想一下,有人使用移动身份验证应用来生成2FA的OTP或签署数字文件。某天,他们发现一款有趣的手机游戏或加密货币咨询应用,并决定下载、安装和试用。

用户并没察觉这款游戏或加密货币咨询应用实际上是恶意软件,而此类恶意软件可以利用特权升级漏洞,攻破用户的移动身份验证应用。“特权升级”是一种利用操作系统或软件应用中的漏洞、设计缺陷或配置疏忽的行为,目的是获得通常受其它应用或用户保护的资源(如密钥)的访问权限。其造成的结果是,恶意软件获得了比预期更多的特权——并因此可以访问机密数据,进行未经授权的操作。

通常人们坚信安卓Keystore或iOS Secure Enclave保护密钥的能力,因此不会想到有人可能会非法入侵他们的身份验证器。然而,当他们玩新游戏或计算最新加密货币投资的回报时,不良行为者可能已经在窃取他们的密钥,更精确地说,窃取他们被称为“OTP种子”的身份验证器密钥。

OTP种子是许多OTP令牌的“独有秘方”。这种加密资产(连同计数器或时间)被输入到身份验证器的OTP算法中,以生成OTP代码。现在,黑客可利用OTP种子生成的与目标人群身份验证器生成的一样的OTP。换句话说,黑客实际上已经拥有了用户的数字化身份。

这是一种隐秘且复杂的攻击,因为目标身份验证应用甚至不需要运行,或者在数据不被篡改的情况下遭攻击。当被问及这一漏洞时,谷歌和苹果公司均表示,他们对用户的手机操作概不负责。苹果公司还特别提及,这个漏洞主要影响越狱的苹果手机,该公司认为越狱手机已经超出了官方允许使用的范围。这一立场与枪支制造商在处理枪杀死亡事件时所持的立场基本相似。

上述场景主要涉及OTP种子。一些身份验证器依赖于其它类型的加密资产,如公钥基础设施密钥(PKI)。遗憾的是,PKI也会遭类似方式的克隆或窃取。V-Key的白皮书详述了黑客成功运作的方式。

在急于快速增长和获取更多客户的过程中,由于过度信任,企业和电子政务应用的开发者实际上都忽略了这个重大的安全漏洞。但如果短信OTP甚至移动身份验证应用都可以被破解,设备和操作系统层也帮助甚微,那么普通用户到底该怎么办?消除信任缺口的最佳方式又是什么?

V-Key首席技术官Er表示,最佳解决方案是提供一种方法来识别系统中的每个端点——无论是应用、服务器,还是单个物联网设备。绑定到每个应用的安全元件,如V-Key的应用身份解决方案,可作为应用的身份和完整性证明,无需任何外来的身份验证器,也不会影响用户体验。

随着数字化以前所未有的速度扩张,支持身份验证和信任的能力变得至关重要。毕竟,只要破解一个移动身份验证应用,就能渗入企业或政府的数字服务,并可能导致整个系统瘫痪。由此造成的损失并不限于经济处罚和民事责任,还会导致品牌和声誉损失,有时这种损失根本无法弥补。

关于V-KEY

V-Key是一家软件型数字安全公司,其技术为面向数字身份管理、用户身份验证和授权的超高安全性解决方案提供支持。公司提供简单而安全的通用数字身份服务,将全球各地的人、组织和设备相连结,并深受星展银行(DBS)、华侨银行(OCBC)、大华银行(UOB)等客户和合作伙伴的信任。

V-Key拥有国际专利的V-OS是全球首个虚拟安全元件,其先进的加密和网络安全保护功能符合全球标准(EAL 3+评级和FIPS 140-2),如此高的安全等级之前仅用于昂贵的硬件解决方案。

1 https://www.mckinsey.com/business-functions/strategy-and-corporate-finance/our-insights/how-covid-19-has-pushed-companies-over-the-technology-tipping-point-and-transformed-business-forever
2 https://www.businesswire.com/news/home/20210311005630/en/28.34-Billion-Multi-factor-Authentication-Market---Global-Growth-Trends-and-Forecasts-2021-2026---ResearchAndMarkets.com

原文版本可在businesswire.com上查阅:https://www.businesswire.com/news/home/20211008005015/en/

免责声明:本公告之原文版本乃官方授权版本。译文仅供方便了解之用,烦请参照原文,原文版本乃唯一具法律效力之版本。

联系方式:

Victor R .Ocampo
victor.ocampo@v-key.com
+65 81126741
info@v-key.com

关注我们:
LinkedIn - https://www.linkedin.com/company/v-key-inc/mycompany/
Twitter - @v-key_inc
http://www.v-key.com/ 

金联创 xinhua08 cacs takungpao China.com 和讯 财讯 C114.net 看商界 畅享网 中国能源网 证券之星 金融界 中金在线 天和网 中国金融网 中汽传媒 国际财经日报 中国环保网 今日亚洲新闻网 百歌新闻专线 亚洲商机 新华网能源频道 IT资讯网 中国智能卡论坛 广西物流网 品牌世家 汽车点评网 中国电子标签网 360教育在线 21世纪保险网 中国能源投资网 中国电子商业联盟 中国汽车咨询中心网 煤炭供应链 美国证券网 百奥知 CTI论坛 中国测控网 北极星电力网 能源财经网 福建之窗 智库在线 eeworld 电脑商情在线 中国电池网 赢商网 湖南信息港 赢在中国网 比邻星环保网 中国制造业门户 中国涂料在线 渝网 - 了解重庆第一站,重庆城市生活门户网站 中国云计算第一门户网站—中云网 投资界 i美股 天和财富网 太阳能信息网 爱中国能源网 世纪新能源网 中国新能源网 PVMate.com 环球外汇 橡胶网-hc360慧聪网 百年企业在线 IT168 米内 汽车工业网 第一车市汽车网 股市资讯 中国西部网 中原汽配网 科技在线 煤炭网 51招生网 教育人生 驴皮网 物流北京 51电池搜索网 大众医学 岭南医药网 5联网 股城网 BIT CNELC XXTLW 外汇通 供应链中国网 中国粘合剂网 中国储能网/li> 家具迷 家居装修网 中華检测网 中国食品招商网 华东化工网 新疆第一汽车网 中国汽车用品交易网 大娱网 中国汽配网 山东化工网 960化工网 妈咪爱 塑胶五金网 慧聪电子网 迈点酒店网 火爆网 emcsino eetrend 绿色节能网 赤浪绿色新能源网 中国商业网 生物无忧 全球医疗器械网 贷商网 手机在线 汽车轻量化在线 中国汽车材料网 科易网 中国电子顶级开发网 中国POS机网 乐康家居 必修 国易网