人生中最昂贵的一节课:基于 SIM 卡转移的攻击细节
deadbeeeef · 2019-05-22 10:21:32 +08:00 via iPhone · 3831 次点击这是一个创建于 1794 天前的主题,其中的信息可能已经有所发展或是发生改变。
原文: https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124
------
我个人觉得:
1.不用短信验证码做为安全工具,不相信运营商(反正连 3GPP 都不在乎[1]你,他们只在乎钱,哈哈)
2.不用在线的 2FA 和密码管理器,文件加密备份后再上传,这样除了你自己没人解得开
3.必要时用 U2F 设备
4.至少搞个相对可信的环境,别在上面几百年没更新过内核的破安卓或者越狱的烂苹果上搞什么和钱有关的
你们觉得呢?
[1] https://alter-attack.net/media/breaking_lte_on_layer_two.pdf
------
我个人觉得:
1.不用短信验证码做为安全工具,不相信运营商(反正连 3GPP 都不在乎[1]你,他们只在乎钱,哈哈)
2.不用在线的 2FA 和密码管理器,文件加密备份后再上传,这样除了你自己没人解得开
3.必要时用 U2F 设备
4.至少搞个相对可信的环境,别在上面几百年没更新过内核的破安卓或者越狱的烂苹果上搞什么和钱有关的
你们觉得呢?
[1] https://alter-attack.net/media/breaking_lte_on_layer_two.pdf
 |
1
Kagari 2019-05-22 10:32:33 +08:00
这个不就是补卡攻击吗,我觉得锅要甩给那些 优先要求手机短信码登录,在绑定手机后不要求验证其他信息就能重置密码或者不能设密码 的 app
|
 |
2
deadbeeeef OP @Kagari 但是作者被社工了……所以验证密保问题什么的肯定也是行不通的,太弱了
|
 |
3
imnpc 2019-05-22 11:35:31 +08:00
U2F WebAuthn 未来所有手机都会支持 WebAuthn 除非本人 别人访问不了
|
 |
4
lingll 2019-05-22 11:36:25 +08:00
无法访问此页面, 是挂了吗?
|
1 |
6
wangxiaoaer 2019-05-22 16:13:15 +08:00
这锅在运营商身上,在攻击者申请 SIM port 的环节没有验证身份。 另外,这个 SIM PORT request 是个什么东西? 补卡?携号转网?
|
|
7
wangxiaoaer 2019-05-22 16:15:22 +08:00
@Kagari 按照文中的说法,对应用提供商来说,他判断不了用户换了手机吧,毕竟只是发送一个验证码。但是 他是可以判断用户使用的设备的,目前新设备的验证很多也是验证码,微信这种需要用旧设备扫码的好像还算是安全些。
|
 |
8
cydysm 2019-05-22 16:25:12 +08:00
|
 |
9
danmu17 2019-05-23 02:03:17 +08:00
这类攻击的本质是所实施的安全级别和要保护的东西的价值的不对等性。
2FA 也是有很明显的安全等级的,硬件 Token 就明显要好很多。 但是这些都不是重点,重点是 coinbase 的风控能力太弱, 如果 coinbase 的风控能力达到 Paypal 的程度的话, 这次的攻击完全不会奏效。 好奇国内有多少业内人士能达到上面的这个 view? |
|
10
danmu17 2019-05-23 02:19:15 +08:00
责任分析
用户 0% 整个过程完全没有用户参与的机会。 Gmail 0% 免费邮箱做到 Gmail 这种程度已经是突破天花板了,毕竟需要经常和国家资助的 h 客过招。 AT&T 10% 有重大过失,但是他们的服务内容并不包含为用户或 coinbase 或 gmail 做 2FA 这件事情。 Coinbase 90% 如果有 paypal 程度的风控能力的话,在用户重置密码 /使用非常用 IP 地址 /清空或者大额交易这三者同时发生的时候,就会自动触发高危风控,并暂停交易然后人工介入。同时对于大额资金调动也应该强制要求使用硬件 Token 一类的更安全级别的防护措施。 |
Select Language