最新研究显示,即使拥有硬件安全防护,大部分移动身份验证应用依然存在重大漏洞
新加坡--(美国商业资讯)--数字化发展正推高人们对强大数字化身份功能的需求。麦肯锡近期发布的一份调查1报告显示,新冠肺炎疫情显著加快了全球的数字化进程。大部分受访者称,自己与用户或客户的互动中至少有80%是通过数字化方式进行的,而疫情前仅为58%。遗憾的是,各类组织机构也因此遭受了越来越多的网络攻击,攻击形式大多为勒索软件攻击以及网上账户和金融账户劫持。
这种状况反而促进了多重验证市场的增长。ResearchAndMarkets.com估计,2020年多重验证市场的规模高达106.4亿美元(到2026年,市场规模约增至283.4亿美元2)。对于银行、金融服务或电子政务应用而言,这意味着它们应采用某种双重验证技术(2FA),通常包括通过短信发送的一次性密码(OTP),以及由硬件令牌或移动身份验证器应用生成的代码。
遗憾的是,经证实,通过短信发送的OTP并不安全,容易被拦截及遭受网络钓鱼攻击。硬件令牌的安装成本高、使用不便,还需要定期更换。移动身份验证器被人们视为更为安全、方便的选项,许多身份验证器具有用于生成OTP代码的密钥,由手机内置的专业硬件(称为可信执行环境或TEE)保护。
但“更安全”不一定意味着“完美”,一项针对以往被人忽略的设计缺陷的最新研究进一步证实了这点。
最令人苦恼的是,如果身份验证器本身不可靠,那么数字服务就会被恶意软件操控,或被不法分子进行逆向工程操作,最终可能导致账户劫持、数据泄露、网络欺诈或更严重的后果。
作为全球首个虚拟安全元件的开发企业,新加坡软件型数字安全公司V-Key最近发布了一份白皮书,揭示大部分移动身份验证应用如何遭恶意软件攻破。不论手机提供何种硬件防护,这实际上都难以避免。
大部分身份验证应用采用密钥来生成代码,用于验证用户身份。这些应用就像是藏宝箱,只有这些密钥才能打开。如果这些密钥被盗,黑客就能利用“劫来的密钥”,假冒用户验证交易或签署文件。正基于此,大部分身份验证应用都竭力采用最安全的密钥存储技术。
众多开发人员认为,这就相当于手机的可信执行环境。在安卓手机中,这被称为StrongBox Keystore。在苹果手机中,这被称为iOS Secure Enclave(它有一个名为Keychain的配套软件,用于存储密码等加密数据)。
V-Key首席技术官Er Chiang Kai表示:“遗憾的是,它们的架构设计普遍存在缺陷,容易被黑客攻击。我们发现恶意软件可以用来获取目标人群的验证器密钥,便于黑客进行未经授权的交易或签署伪造文件。越狱手机、根设备或易受所谓‘特权升级漏洞’影响的机型尤其如此。我们把这种设计缺陷称为‘信任缺口’。”
这到底是如何运作的呢?试想一下,有人使用移动身份验证应用来生成2FA的OTP或签署数字文件。某天,他们发现一款有趣的手机游戏或加密货币咨询应用,并决定下载、安装和试用。
用户并没察觉这款游戏或加密货币咨询应用实际上是恶意软件,而此类恶意软件可以利用特权升级漏洞,攻破用户的移动身份验证应用。“特权升级”是一种利用操作系统或软件应用中的漏洞、设计缺陷或配置疏忽的行为,目的是获得通常受其它应用或用户保护的资源(如密钥)的访问权限。其造成的结果是,恶意软件获得了比预期更多的特权——并因此可以访问机密数据,进行未经授权的操作。
通常人们坚信安卓Keystore或iOS Secure Enclave保护密钥的能力,因此不会想到有人可能会非法入侵他们的身份验证器。然而,当他们玩新游戏或计算最新加密货币投资的回报时,不良行为者可能已经在窃取他们的密钥,更精确地说,窃取他们被称为“OTP种子”的身份验证器密钥。
OTP种子是许多OTP令牌的“独有秘方”。这种加密资产(连同计数器或时间)被输入到身份验证器的OTP算法中,以生成OTP代码。现在,黑客可利用OTP种子生成的与目标人群身份验证器生成的一样的OTP。换句话说,黑客实际上已经拥有了用户的数字化身份。
这是一种隐秘且复杂的攻击,因为目标身份验证应用甚至不需要运行,或者在数据不被篡改的情况下遭攻击。当被问及这一漏洞时,谷歌和苹果公司均表示,他们对用户的手机操作概不负责。苹果公司还特别提及,这个漏洞主要影响越狱的苹果手机,该公司认为越狱手机已经超出了官方允许使用的范围。这一立场与枪支制造商在处理枪杀死亡事件时所持的立场基本相似。
上述场景主要涉及OTP种子。一些身份验证器依赖于其它类型的加密资产,如公钥基础设施密钥(PKI)。遗憾的是,PKI也会遭类似方式的克隆或窃取。V-Key的白皮书详述了黑客成功运作的方式。
在急于快速增长和获取更多客户的过程中,由于过度信任,企业和电子政务应用的开发者实际上都忽略了这个重大的安全漏洞。但如果短信OTP甚至移动身份验证应用都可以被破解,设备和操作系统层也帮助甚微,那么普通用户到底该怎么办?消除信任缺口的最佳方式又是什么?
V-Key首席技术官Er表示,最佳解决方案是提供一种方法来识别系统中的每个端点——无论是应用、服务器,还是单个物联网设备。绑定到每个应用的安全元件,如V-Key的应用身份解决方案,可作为应用的身份和完整性证明,无需任何外来的身份验证器,也不会影响用户体验。
随着数字化以前所未有的速度扩张,支持身份验证和信任的能力变得至关重要。毕竟,只要破解一个移动身份验证应用,就能渗入企业或政府的数字服务,并可能导致整个系统瘫痪。由此造成的损失并不限于经济处罚和民事责任,还会导致品牌和声誉损失,有时这种损失根本无法弥补。
关于V-KEY
V-Key是一家软件型数字安全公司,其技术为面向数字身份管理、用户身份验证和授权的超高安全性解决方案提供支持。公司提供简单而安全的通用数字身份服务,将全球各地的人、组织和设备相连结,并深受星展银行(DBS)、华侨银行(OCBC)、大华银行(UOB)等客户和合作伙伴的信任。
V-Key拥有国际专利的V-OS是全球首个虚拟安全元件,其先进的加密和网络安全保护功能符合全球标准(EAL 3+评级和FIPS 140-2),如此高的安全等级之前仅用于昂贵的硬件解决方案。
1 https://www.mckinsey.com/business-functions/strategy-and-corporate-finance/our-insights/how-covid-19-has-pushed-companies-over-the-technology-tipping-point-and-transformed-business-forever
2 https://www.businesswire.com/news/home/20210311005630/en/28.34-Billion-Multi-factor-Authentication-Market---Global-Growth-Trends-and-Forecasts-2021-2026---ResearchAndMarkets.com
原文版本可在businesswire.com上查阅:https://www.businesswire.com/news/home/20211008005015/en/
免责声明:本公告之原文版本乃官方授权版本。译文仅供方便了解之用,烦请参照原文,原文版本乃唯一具法律效力之版本。
联系方式:
Victor R .Ocampo
victor.ocampo@v-key.com
+65 81126741
info@v-key.com
关注我们:
LinkedIn - https://www.linkedin.com/company/v-key-inc/mycompany/
Twitter - @v-key_inc
http://www.v-key.com/