Cómo Google mató la autenticación de dos factores (2FA)
Un grupo de expertos en seguridad ha conseguido saltarse la autenticación en dos pasos recurriendo a una de las características más común entre muchas aplicaciones: la sincronización entre dispositivos. Radhesh Krishnan Konoth y Victor van der Even de la Universidad de Amsterdam, dijeron que descubrieron el defecto en el 2014, alertaron a Google y otros servicios en línea e incluso presentaron sus hallazgos a una serie de bancos, pero en vano.
Hay que decir que la vulnerabilidad existente en este tipo de inicio de sesión afectaba a una gran cantidad de servicios y de cierto renombre, como pueden ser los del Gigante de Internet o algunas entidades bancarias, aunque esto es solo un pequeño ejemplo de lo que podríamos encontrar en el listado. Teniendo en cuenta la envergadura del problema, los expertos decidieron reportar el problema y esperar a que estos fuesen capaces de solventarlo. Sin embargo, lo que ha chocado a los investigadores es que muchas compañías han confirmado que el fallo de seguridad no era para nada importante.
Podría decirse que la sincronización entre las aplicaciones de diferentes sistemas operativos es el Talón de Aquiles de este sistema de verificación de la identidad. Todo funcionaría de forma más o menos correcta hasta que el ciberdelincuente consiguiese acceder al PC del usuario, donde también estaría instalada o se haría uso de esta aplicación que se sincroniza a su vez con otros dispositivos. Como resultado, tenemos la posibilidad de utilizar iTunes o la Google Play Store para enviar aplicaciones maliciosas a dispositivos iOS y Android respectivamente sin que el usuario pueda hacer nada, y lo más importante, sin la necesidad de una autenticación en dos pasos.
A priori sería necesario un acceso físico, ya que se necesita cierta iteracción con el PC, aunque hay que decir que con la cantidad de malware que existe hoy en día y las funciones que poseen, no es para nada descabellado pensar que con una amenaza de estas características sea más que suficiente.
En el siguiente vídeo se puede observar esto que acabamos de detallar en mayor profundidad:
La instalación de aplicaciones de forma no controlada es uno de los males existentes hoy en día en todos los sistemas operativos, pero se acentúa si recurrimos a realizar este proceso de forma remota. Por este motivo, expertos en seguridad invitan a las compañías a que se modifique este comportamiento y así lograr que al realizar este proceso el usuario deba validar esta instalación de forma remota, pudiendo evitar de esta forma la llegada de aplicaciones maliciosas al dispositivo, bien sea equipo de sobremesa o dispositivo móvil.
Para más detalles se puede ver el video, consultar el sitio web BAndroid (Browser-to-Android), leer el paper How Anywhere Computing Just Killed Your Phone-Based Two-Factor Authentication [PDF] o ver su presentación.
Fuente: Redes Zone | Softpedia
Hay que decir que la vulnerabilidad existente en este tipo de inicio de sesión afectaba a una gran cantidad de servicios y de cierto renombre, como pueden ser los del Gigante de Internet o algunas entidades bancarias, aunque esto es solo un pequeño ejemplo de lo que podríamos encontrar en el listado. Teniendo en cuenta la envergadura del problema, los expertos decidieron reportar el problema y esperar a que estos fuesen capaces de solventarlo. Sin embargo, lo que ha chocado a los investigadores es que muchas compañías han confirmado que el fallo de seguridad no era para nada importante.
Podría decirse que la sincronización entre las aplicaciones de diferentes sistemas operativos es el Talón de Aquiles de este sistema de verificación de la identidad. Todo funcionaría de forma más o menos correcta hasta que el ciberdelincuente consiguiese acceder al PC del usuario, donde también estaría instalada o se haría uso de esta aplicación que se sincroniza a su vez con otros dispositivos. Como resultado, tenemos la posibilidad de utilizar iTunes o la Google Play Store para enviar aplicaciones maliciosas a dispositivos iOS y Android respectivamente sin que el usuario pueda hacer nada, y lo más importante, sin la necesidad de una autenticación en dos pasos.
A priori sería necesario un acceso físico, ya que se necesita cierta iteracción con el PC, aunque hay que decir que con la cantidad de malware que existe hoy en día y las funciones que poseen, no es para nada descabellado pensar que con una amenaza de estas características sea más que suficiente.
En el siguiente vídeo se puede observar esto que acabamos de detallar en mayor profundidad:
Para más detalles se puede ver el video, consultar el sitio web BAndroid (Browser-to-Android), leer el paper How Anywhere Computing Just Killed Your Phone-Based Two-Factor Authentication [PDF] o ver su presentación.
Fuente: Redes Zone | Softpedia
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!