【有等於無】Box帳戶安全驗證現死角 黑客可用自家驗證app闖關
服務供應商如果有為用家推出 2FA (雙重因素驗證) 或 MFA (多重因素驗證),理論上都會覺得較安全。不過,網絡安全公司 Varonis Threat Labs 去年就發現,有實施 2FA 或 MFA 登入政策的雲端儲存服務供應商 Box,原來在驗證機制上出現漏洞,如果用家只登記使用 SMS 收額外驗證碼,黑客是可以完全避過驗證登入受害者的帳戶,不過漏洞現時已被堵塞,各位可以繼續使用。
雙重或多重因素安全驗證,是指用家除了要使用帳戶名稱及密碼登入外,還需配合其他因素如額外驗證碼、生物特徵等。額外安全編碼現時仍是主流驗證技術,視乎需要,它可透過電郵或 SMS 短訊接收,另外亦可使用如 Google Titan 或 YubiKey 等硬體驗證器,在登入帳戶時將驗證器插入裝置或以藍牙技術連接,由於必須有實物在手,不似得SMS或電郵驗證碼有可能被截取使用,因此硬體驗證器的安全性會較高。
不過,如果以為有 2FA 或 MFA 一定安全,這種想法就大錯特錯,因為在登入政策上必須有周密考慮,否則便會有可乘之機。例如這次 Varonis Threat Labs 研究員發現的 Box 漏洞便全因程式設計存在安全盲點。研究員指出,Box 採用混合多重因素驗證模式,即允許用家以 SMS 收取額外驗證碼,或使用驗證 app 產生一次性驗證碼登入帳戶。不過如用家只登記使用 SMS 方法,黑客只須掌握用家的基本帳戶登入名稱及密碼,便可以驗證 app 取代登入,而漏洞成立的條件是 Box 驗證系統不單沒有檢查用家原來未有登記使用驗證 app,其次驗證過程未有核實驗證 app 產生的密碼是否為用家本人所擁有,兩者配合下黑客便能成功潛入受害者的帳戶。
研究員細述整個攻擊流程,首先黑客必須掌握目標人物的帳戶登入資料,其次是黑客必須在自己的電腦上登記一個 Box 帳戶,並為它啟用驗證 app 登入政策。準備就緒後,黑客便可於電腦上再一次登入目標人物的帳戶,這時 Box 確認資料正確後,便會跳轉至輸入額外 SMS 驗證碼的版面。不過,黑客可於此時強行利用 Box 發出的 cookies 進入驗證 app 的密碼驗證版面,並輸入由自己帳戶所產生的驗證碼,然後成功進入對方的帳戶。
研究員去年 11 月向 Box 舉報漏洞,現時漏洞己被修正。從這次事件中可見,雖然現時有不少強化帳戶保護的安全協定,但如果未能完全審視整個登入流程,一樣會有漏洞出現。
相關文章
【傳說崩壞】Google Titan、YubiKey硬體安全鑰可被複製:https://www.wepro180.com/20210114_yubikey