Vídeo: ENCONTREI UM BUG DE ENTRAR DEBAIXO DA TERRA!! LORD FREE FIRE! (Novembro 2024)
Você provavelmente encontrou um dos esquemas de autenticação de sites que funcionam enviando um código único para o seu smartphone e solicitando sua inserção on-line. Os números de autenticação de transações móveis (mTANs) usados por muitos bancos são um exemplo. O Google Authenticator permite proteger sua conta do Gmail da mesma maneira e vários outros serviços - LastPass, por exemplo - também são compatíveis. Infelizmente, os bandidos já sabem como subverter esse tipo de autenticação. A autenticação de SMS do TextKey é uma nova abordagem, que protege todas as etapas do processo de autenticação.
Virar o jogo
A autenticação SMS à moda antiga envia esse código único para o número de celular registrado do usuário. Não há como ter certeza de que o código não foi capturado por malware ou interceptado usando um clone do telefone. Em seguida, o usuário digita o código no navegador. Se o PC estiver infectado, a transação poderá ser comprometida. De fato, uma variante do Zeus chamada zitmo (para "Zeus no celular") realiza um ataque de tag team, com um componente no PC e outro no celular cooperando para roubar suas credenciais e seu dinheiro.
TextKey reverte todo o processo. Não envia nada para você. Em vez disso, ele exibe um PIN depois de inserir seu nome de usuário e senha e solicita que você envie esse PIN para um código curto especificado. As operadoras de celular trabalham muito para garantir que um número de telefone corresponda exatamente a um dispositivo; portanto, se o servidor TextKey receber a mensagem, significa que a operadora já validou o número de telefone e o UDID do telefone. Ali mesmo, o TextKey recebe dois fatores de autenticação adicionados de graça!
O PIN é diferente todas as vezes e é válido apenas por alguns minutos. O código curto também varia. E um site usando o TextKey para autenticação pode opcionalmente exigir que cada usuário crie um PIN pessoal que deve ser adicionado ao início ou ao final do PIN único.
O que acontece se um colega de trabalho navega na tela com o PIN e o código curto ou um programa malicioso relata sua atividade de mensagens de texto ao proprietário? Se o sistema TextKey receber o PIN correto do número de telefone errado, ele não apenas rejeitará a autenticação. Ele também registra o número de telefone como uma fraude, para que o proprietário do site possa tomar as medidas apropriadas.
Clique neste link para experimentar o TextKey. Para fins de demonstração, você digitará seu número de telefone; em uma situação do mundo real, o número faria parte do seu perfil de usuário. Observe que você pode acionar o alerta de fraude digitando um número diferente do seu.
Como você conseguiu isso
Infelizmente, o TextKey não é algo que você pode implementar como consumidor. Você pode utilizá-lo somente se o banco ou outro site seguro o tiver implementado. As pequenas empresas podem contratar autenticação de TextKey com base em segurança como serviço, pagando de US $ 5 a US $ 0, 50 por usuário por mês, dependendo do número de usuários. É uma taxa mensal fixa, para qualquer número de logins. Operações em grande escala que hospedam seus próprios servidores TextKey pagam uma taxa de instalação e uma taxa mensal.
Esse esquema pode não ser 100% invencível, mas é muito mais difícil que a autenticação por SMS da velha escola. Vai muito além de dois fatores; O TextPower chama isso de "Omni-Fator". É necessário conhecer a senha, possuir o telefone com o UDID correto, inserir o PIN exibido, opcionalmente adicionar seu PIN pessoal, enviar o texto do número de telefone registrado e usar o código curto aleatório como destino. Confrontado com isso, o hacker comum provavelmente escapará e quebrará alguns mTANs do banco.
