人生中最昂贵的一节课:基于 SIM 卡转移的攻击细节

2019-05-22 10:21:32 +08:00
 deadbeeeef
原文: https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124

------

我个人觉得:

1.不用短信验证码做为安全工具,不相信运营商(反正连 3GPP 都不在乎[1]你,他们只在乎钱,哈哈)
2.不用在线的 2FA 和密码管理器,文件加密备份后再上传,这样除了你自己没人解得开
3.必要时用 U2F 设备
4.至少搞个相对可信的环境,别在上面几百年没更新过内核的破安卓或者越狱的烂苹果上搞什么和钱有关的

你们觉得呢?



[1] https://alter-attack.net/media/breaking_lte_on_layer_two.pdf
3960 次点击
所在节点    信息安全
10 条回复
Kagari
2019-05-22 10:32:33 +08:00
这个不就是补卡攻击吗,我觉得锅要甩给那些 优先要求手机短信码登录,在绑定手机后不要求验证其他信息就能重置密码或者不能设密码 的 app
deadbeeeef
2019-05-22 11:07:40 +08:00
@Kagari 但是作者被社工了……所以验证密保问题什么的肯定也是行不通的,太弱了
imnpc
2019-05-22 11:35:31 +08:00
U2F WebAuthn 未来所有手机都会支持 WebAuthn 除非本人 别人访问不了
lingll
2019-05-22 11:36:25 +08:00
无法访问此页面, 是挂了吗?
R18
2019-05-22 11:39:54 +08:00
@lingll medium 要 FQ
wangxiaoaer
2019-05-22 16:13:15 +08:00
这锅在运营商身上,在攻击者申请 SIM port 的环节没有验证身份。 另外,这个 SIM PORT request 是个什么东西? 补卡?携号转网?
wangxiaoaer
2019-05-22 16:15:22 +08:00
@Kagari 按照文中的说法,对应用提供商来说,他判断不了用户换了手机吧,毕竟只是发送一个验证码。但是 他是可以判断用户使用的设备的,目前新设备的验证很多也是验证码,微信这种需要用旧设备扫码的好像还算是安全些。
cydysm
2019-05-22 16:25:12 +08:00
danmu17
2019-05-23 02:03:17 +08:00
这类攻击的本质是所实施的安全级别和要保护的东西的价值的不对等性。
2FA 也是有很明显的安全等级的,硬件 Token 就明显要好很多。
但是这些都不是重点,重点是 coinbase 的风控能力太弱,
如果 coinbase 的风控能力达到 Paypal 的程度的话,
这次的攻击完全不会奏效。
好奇国内有多少业内人士能达到上面的这个 view?
danmu17
2019-05-23 02:19:15 +08:00
责任分析
用户 0% 整个过程完全没有用户参与的机会。
Gmail 0% 免费邮箱做到 Gmail 这种程度已经是突破天花板了,毕竟需要经常和国家资助的 h 客过招。
AT&T 10% 有重大过失,但是他们的服务内容并不包含为用户或 coinbase 或 gmail 做 2FA 这件事情。
Coinbase 90% 如果有 paypal 程度的风控能力的话,在用户重置密码 /使用非常用 IP 地址 /清空或者大额交易这三者同时发生的时候,就会自动触发高危风控,并暂停交易然后人工介入。同时对于大额资金调动也应该强制要求使用硬件 Token 一类的更安全级别的防护措施。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/566465

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX