2FA por SMS: um método de segurança pior do que sua reputação

 (ccc.de)
2 pontos por GN⁺ 2024-07-12 | 1 comentários | Compartilhar no WhatsApp

  • Senhas de uso único e SMS

    • Senhas de uso único são frequentemente enviadas por SMS
    • Pesquisadores de segurança do CCC tiveram acesso em tempo real a mais de 200 milhões de mensagens SMS enviadas por mais de 200 empresas

  • Autenticação de dois fatores via SMS (2FA-SMS)

    • 2FA-SMS é um método para aumentar a segurança da autenticação
    • Exige um código dinâmico enviado por SMS junto com uma senha estática
    • Ao fazer login, o usuário precisa inserir esse código, o que comprova a senha (primeiro fator: conhecimento) e o acesso ao número de telefone (segundo fator: posse)
    • Apenas uma senha roubada não é suficiente para comprometer a conta do usuário

  • Vetores de ataque já conhecidos

    • Invasores podem interceptar mensagens SMS usando SIM swapping ou explorando vulnerabilidades SS7 da rede móvel
    • Ataques de phishing podem induzir usuários a revelar senhas de uso único
    • O CCC não recomenda o uso de SMS como segundo fator desde 2013
    • Mesmo assim, 2FA-SMS continua amplamente usado e oferece mais segurança do que autenticação apenas com senha

  • Agora também pode ser visto online!

    • O CCC demonstrou um ataque antes negligenciado contra 2FA-SMS
    • Provedores de serviço enviam grandes volumes de SMS para várias empresas e serviços, e podem acessar o conteúdo dessas mensagens
    • Portanto, a segurança do processo de autenticação depende da segurança desses provedores

  • O erro da IdentifyMobile

    • A IdentifyMobile estava compartilhando senhas de uso único na internet em tempo real
    • O CCC conseguiu acessar esses dados por acaso
    • Bastou adivinhar um subdomínio chamado idmdatastore
    • Além do conteúdo dos SMS, também eram visíveis o número de telefone do destinatário, o nome do remetente e outras informações de conta

  • 200 milhões de SMS de mais de 200 empresas

    • Mais de 200 empresas foram afetadas, incluindo Google, Amazon, Facebook, Microsoft, Telegram, Airbnb, FedEx e DHL
    • No total, 198 milhões de SMS vazaram
    • Apenas observando o feed em tempo real, já era possível sequestrar números do WhatsApp, realizar transações financeiras ou entrar em vários serviços caso a senha fosse conhecida

  • (Ainda) não é uma catástrofe

    • Para abusar de códigos SMS, normalmente também é necessária a senha
    • No entanto, links de login com "1 clique" também estavam incluídos nos dados
    • No caso de algumas grandes empresas, apenas serviços específicos protegidos pela IdentifyMobile foram afetados
    • A negligência da IdentifyMobile expôs empresas e clientes a um grande risco
    • Autoridades de proteção de dados ao redor do mundo estão sendo inundadas com consultas semelhantes

  • Não armazenamos os dados

    • No entanto, não é possível descartar que outras pessoas tenham tido acesso

  • 2FA-SMS é melhor do que nada, mas outros métodos devem ser usados

    • Senhas de uso único geradas em aplicativos ou tokens de hardware são mais seguros e independentes da rede móvel
    • Recomendamos usar essas opções sempre que possível
    • E qualquer segundo fator é melhor do que apenas uma senha

Resumo do GN⁺

  • Este artigo trata das vulnerabilidades de segurança da autenticação de dois fatores baseada em SMS
  • Devido a um erro da IdentifyMobile, mais de 200 milhões de SMS vazaram, criando um grande risco para muitas empresas e clientes
  • 2FA-SMS é mais seguro do que uma senha simples, mas é melhor usar senhas de uso único baseadas em aplicativo ou tokens de hardware
  • Este artigo é útil para pessoas interessadas em segurança e alerta para os riscos da autenticação baseada em SMS

Leituras relacionadas

1 comentários

 
GN⁺ 2024-07-12
Comentários do Hacker News

  • Compartilha a experiência de um amigo da família que caiu em um ataque de phishing induzido por Google Ads

    • O atacante veiculou anúncios para buscas como "BANKNAME login"
    • Inseriu o código de 2FA em um site falso, mas foi solicitado um segundo código
    • O segundo código foi usado para adicionar um novo destinatário de "pay anyone"
    • No fim, perdeu dinheiro, mas depois conseguiu recuperá-lo

  • Tem duas contas bancárias, uma usa 2FA por SMS e a outra usa aplicativo

    • Achava que o app era mais seguro por padrão, mas em certas situações o SMS pode ser melhor
    • O 2FA ideal geraria tokens diferentes dependendo do tipo de transação

  • Suspeita que empresas que forçam 2FA por SMS não se importam com segurança e só querem o número de telefone

    • O NIST recomenda não usar 2FA por SMS
    • Muitos bancos forçam 2FA por SMS porque seus apps não rodam em celulares com root

  • Usou o ChatGPT 4 para analisar capturas de tela de um site bancário e verificar se era phishing

    • Ao alterar uma letra da URL, ele reconheceu como tentativa de phishing
    • O modelo consegue analisar automaticamente a captura de tela e julgar se é legítima ou não

  • No Reino Unido, quase todas as transações bancárias online são verificadas por SMS

    • Parece ser uma exigência legal
    • O sistema anterior de cartão + leitor de cartão + PIN era mais seguro
    • Espera que reconheçam que essa escolha foi errada e a corrijam

  • O artigo está confundindo dois problemas de segurança diferentes

    • Links de "1-click login" são perigosos apenas com acesso ao SMS
    • Códigos de 2FA são um segundo fator, então preocupam menos porque também exigem senha

  • A Suécia resolveu esse problema com o BankID

    • Isso foi possível graças à cooperação entre instituições públicas e privadas
    • É usado para login e 2FA em serviços do governo e na maioria dos bancos
    • Surpreende que outros países ou a UE inteira não tenham um sistema assim

  • A mensagem no bucket S3 é atualizada a cada 5 minutos

    • Não só o Twilio Verify (API de 2FA), mas todos os SMS enviados por esse fornecedor são afetados

  • Várias instituições financeiras exigem 2FA por SMS e não oferecem opção de HOTP/TOTP