تأیید هویت دو عاملی (2FA) در هنگام ثبت نام آنلاین امنیت بیشتری را فراهم می کند و "سنگ فیلسوف" محسوب می شود. برای این منظور از برنامه های Authenticator نیز استقبال می شود. این رویکرد امنیتی در حال حاضر تضعیف می شود زیرا کدهای 2FA با استفاده از برنامه های تأیید اعتبار به راحتی می توان ضربه زد. حتی بدتر: به عنوان مثال گوگل من از آسیب پذیری در برنامه Authenticator از اکتبر سال 2014 بدون هیچ کاری می دانم. در مورد مایکروسافت هم همینطور است.
Cerberus Android Malware می تواند از 2FA دور بزند ، دستگاه ها را از راه دور باز کند – تا serghei https://t.co/t6jrgCIIPW
– BleepingComputer (BleepinComputer) [27 فوریه 2020][19659005] 2FA هنگام ورود به حساب های آنلاین ، سطح دیگری از امنیت محسوب می شود. اطلاعات دقیق در مورد آسیب پذیری در برنامه Google Authenticator را می توان در رایانه Bleeping Computer و ZDnet یافت.
این همچنین در مورد سایر برنامه های تأیید اعتبار عمومی صدق می کند تقریباً همه برنامه های تأیید اعتبار دو عاملی (2FA) ، از جمله Google و Microsoft Authenticator ، محافظت در برابر تصاویر ندارند.
یک کد TOTP شش رقمی یا هشت رقمی (رمز عبور یک بار مبتنی بر زمان) می تواند از دیگر برنامه های کاربردی با استفاده از تصویر صفحه بهره برداری شود. حالا همه چیز هیجان زده است زیرا چنین اشتباهی می تواند اتفاق بیفتد. زیرا در برنامه های Android ممکن است از گرفتن عکس از صفحه جلوگیری کند.
آسیب پذیری شناخته شده از سال 2014
محققان امنیتی قبلاً در سال 2014 متوجه مشکل 2FA در ارتباط با تصاویر در برنامه های Android بودند. اولین بلیط گیتوب از 8 ژوئیه 2014 است و مشکل را بصورت اختصاصی شرح می دهد. از آن زمان ، محققان امنیتی روی این موضوع کار کرده اند و آن را نیز به گوگل یا مایکروسافت گزارش داده اند.
زیرا برنامه Authenticator Microsoft نیز همین مشکل را دارد. این شرکت در سال 2018 از این مشکل مطلع شد ، همانطور که می توانید در اینجا بخوانید. مایکروسافت از تأیید این موضوع به عنوان یک خطا و ارائه وصله خودداری کرد. علاوه بر Golem در این موضوع ، مقاله ای به زبان انگلیسی در مورد ZDNet وجود دارد. در اصل ، می توان گفت که برنامه های Android 2FA احتمالاً هیچ گونه حفاظت واقعی را ارائه نمی دهند – زیرا یک دستگاه اندرویدی آلوده به شما امکان می دهد تا روی کدهای TOTP ضربه بزنید.
Cerberus Android Malware می تواند از 2FA دور بزند ، دستگاه ها را از راه دور باز کند – تا serghei https://t.co/t6jrgCIIPW
– BleepingComputer (BleepinComputer) [27 فوریه 2020][19659005] 2FA هنگام ورود به حساب های آنلاین ، سطح دیگری از امنیت محسوب می شود. اطلاعات دقیق در مورد آسیب پذیری در برنامه Google Authenticator را می توان در رایانه Bleeping Computer و ZDnet یافت.
این همچنین در مورد سایر برنامه های تأیید اعتبار عمومی صدق می کند تقریباً همه برنامه های تأیید اعتبار دو عاملی (2FA) ، از جمله Google و Microsoft Authenticator ، محافظت در برابر تصاویر ندارند.
یک کد TOTP شش رقمی یا هشت رقمی (رمز عبور یک بار مبتنی بر زمان) می تواند از دیگر برنامه های کاربردی با استفاده از تصویر صفحه بهره برداری شود. حالا همه چیز هیجان زده است زیرا چنین اشتباهی می تواند اتفاق بیفتد. زیرا در برنامه های Android ممکن است از گرفتن عکس از صفحه جلوگیری کند.
آسیب پذیری شناخته شده از سال 2014
محققان امنیتی قبلاً در سال 2014 متوجه مشکل 2FA در ارتباط با تصاویر در برنامه های Android بودند. اولین بلیط گیتوب از 8 ژوئیه 2014 است و مشکل را بصورت اختصاصی شرح می دهد. از آن زمان ، محققان امنیتی روی این موضوع کار کرده اند و آن را نیز به گوگل یا مایکروسافت گزارش داده اند.
زیرا برنامه Authenticator Microsoft نیز همین مشکل را دارد. این شرکت در سال 2018 از این مشکل مطلع شد ، همانطور که می توانید در اینجا بخوانید. مایکروسافت از تأیید این موضوع به عنوان یک خطا و ارائه وصله خودداری کرد. علاوه بر Golem در این موضوع ، مقاله ای به زبان انگلیسی در مورد ZDNet وجود دارد. در اصل ، می توان گفت که برنامه های Android 2FA احتمالاً هیچ گونه حفاظت واقعی را ارائه نمی دهند – زیرا یک دستگاه اندرویدی آلوده به شما امکان می دهد تا روی کدهای TOTP ضربه بزنید.
