【手快快出禍】唔睇使用條款 突破 2FA 雙重驗證話咁易
幾時都話,用短訊或電郵做 2FA 雙重驗證唔係絕對安全。雖然 Google 今年初先加強咗 Android 系統嘅 2FA 驗證漏洞,阻止第三方應用軟件開發公司擅自讀取 SMS 或通訊資料。不過最近已經有研究員發現有 Android 惡意軟件可以繞過此防線,繼續盜取一次性密碼 (OTP, One-Time Password)。
研究員 Stefanko 喺早前發現,一款冒充土耳其加密貨幣交易平台 BtcTurk 嘅惡意應用程式,喺 6 月 7 至 13 日期間於 Google Play Store 上架,黑客嘅主要目的就係盜取用戶嘅登入帳戶資料及手機接收到嘅 2FA 驗證碼。既然無法讀取 SMS,咁黑客到底係點樣攔截驗證碼?研究員發現黑客原來係用上其他陰招突破限制:要求用戶允許檢查及控制「通知」(notifications)。
只要用家准許惡意應用軟件攞到讀取通知權限,黑客就可以取閱、刪除甚至隱藏所有通知訊息。用家一安裝,黑 app 就會即時 進行釣魚活動,盜取加密貨幣服務嘅 login。套路都係果啲:用戶傻更更 login 又見通知話有問題,結果就俾黑客繞過防線,睇晒所有通知內容。由於黑客可以刪除及將通知訊息靜音,真係神不知鬼不覺咁俾人搞咗後面都唔知。
現時研究員總共發現兩個假 BtcTurk apps,對應 Android 5.0 (KitKat) 或以上版本,即係九成 Android 機都可以中招。相信呢個只係開始,黑客好快會喺其他 apps 上使用,大家要小心睇清楚安裝條款,唔好隨便開放使用權限呀。
相關文章:【iOS 都用得】Android 手機變 FIDO 驗證硬體鎖