به روز رسانی جدید 2FA authenticator گوگل ممکن است کاربران را در برابر حملات تک نقطه ای و کلاهبرداری های «تعویض سیم کارت» آسیب پذیر کند.

گوگل یک به روز رسانی را برای برنامه احراز هویت محبوب خود منتشر کرده است که یک “کد یکبار مصرف” را در فضای ذخیره سازی ابری ذخیره می کند.

در یک پست وبلاگی در ۲۴ آوریل که این به‌روزرسانی را اعلام کرد، گوگل گفت که کدهای یکبار مصرف در حساب Google کاربر ذخیره می‌شوند و ادعا می‌کنند که کاربران در برابر قفل‌ها محافظت بهتری خواهند داشت و این باعث افزایش راحتی و امنیت می‌شود.

کاربر Reddit u/pojut در یک پست Reddit در 26 آوریل در انجمن r/Cryptocurrency نوشت که اگرچه این به روز رسانی به افرادی که دستگاه خود را با برنامه احراز هویت گم می کنند کمک می کند، اما آنها را در برابر هکرها آسیب پذیرتر می کند.

ایمن کردن این مورد در فضای ذخیره‌سازی ابری مرتبط با حساب Google کاربر به این معنی است که هر کسی که بتواند به رمز عبور Google کاربر دسترسی داشته باشد، به برنامه‌های مرتبط با احراز هویت خود دسترسی کامل خواهد داشت.

کاربر پیشنهاد کرد که یک راه ممکن برای دور زدن مشکل SMS 2FA استفاده از تلفن قدیمی است که فقط برای میزبانی برنامه احراز هویت شما استفاده می شد.

همچنین، در صورت امکان، اکیداً توصیه می‌کنم یک دستگاه جداگانه (شاید یک تلفن قدیمی یا یک تبلت قدیمی) داشته باشید که تنها برای هدف خود در زندگی استفاده می‌شود، برنامه احراز هویت انتخابی شما. چیز دیگری را روی آن نگه ندارید و از آن استفاده کنید. برای هیچ چیز دیگری.»

به طور مشابه، توسعه دهندگان امنیت سایبری mysk گرفت توییتر برای هشدار در مورد عوارض اضافی که با راه حل مبتنی بر ذخیره سازی ابری Google برای 2FA همراه است.

گوگل به تازگی برنامه 2FA Authenticator خود را به روز کرده و یک ویژگی بسیار مورد نیاز را اضافه کرده است: توانایی همگام سازی اسرار بین دستگاه ها.

TL;DR: آن را باز نکنید.

به‌روزرسانی جدید به کاربران امکان می‌دهد با حساب Google خود وارد شوند و اسرار 2FA را در دستگاه‌های iOS و Android همگام‌سازی کنند. pic.twitter.com/a8hhelupZR

— Mysk (@mysk_co) 26 آوریل 2023

این می‌تواند برای کاربرانی که از Google authenticator برای 2FA برای ورود به حساب‌های صرافی ارز دیجیتال و سایر خدمات مرتبط با امور مالی استفاده می‌کنند، نگرانی بزرگی باشد.

متداول‌ترین حمله 2FA نوعی جعل است که به نام «تعویض سیم‌کارت» شناخته می‌شود، که در آن کلاهبرداران با فریب دادن ارائه‌دهنده مخابرات برای پیوند دادن شماره به سیم کارت خود، کنترل شماره تلفن را در دست می‌گیرند.

نمونه اخیر این مورد را می توان در شکایتی که علیه صرافی ارزهای دیجیتال مستقر در ایالات متحده Coinbase تنظیم شده است مشاهده کرد، جایی که یک مشتری ادعا کرد که “90٪ پس انداز زندگی خود” را پس از قربانی شدن در چنین حمله ای از دست داده است.

Coinbase استفاده از برنامه های احراز هویت را برای 2FA به جای SMS تشویق می کند و SMS 2FA را به عنوان “کمترین امن ترین” فرم احراز هویت توصیف می کند.

فکر می کنم رمزش به خطر افتاده چون در سایت های دیگر استفاده شده و یکی از آنها نقض شده است. همچنین، Coinbase برنامه Authenticator را با برچسب گذاری آن برای 2FA تشویق می کند. "قابل اعتماد" و بصورت اس ام اس "نسبتاً ایمن".

دیو فرگوسن (@_sc0rn) 7 مارس 2023

مرتبط با: OFAC معامله گران فرابورس را که برای گروه Lazarus کره شمالی به ارز دیجیتال تبدیل کرده بودند، تحریم کرد.

در Reddit، کاربران در مورد این پرونده بحث کردند و حتی پیشنهاد ممنوعیت SMS 2FA را دادند. همانطور که یکی از کاربران Reddit اشاره کرد، در حال حاضر به عنوان تنها گزینه احراز هویت موجود برای تعدادی از خدمات فین تک و مرتبط با ارزهای دیجیتال است:

“متاسفانه، بسیاری از سرویس‌هایی که من استفاده می‌کنم هنوز Authenticator 2FA را ارائه نمی‌دهند. اما قطعاً فکر می‌کنم رویکرد پیامک ناامن است و باید ممنوع شود.”

شرکت امنیتی بلاک چین CertiK در مورد خطرات استفاده از SMS 2FA هشدار داده است و Jesse Leclere، کارشناس امنیتی به Cointelegraph گفت: “SMS 2FA بهتر از هیچ است، اما آسیب پذیرترین شکل 2FA است که در حال حاضر استفاده می شود.”

مجله: از هر 10 فروش NFT، 4 مورد جعلی است: یاد بگیرید علائم تجارت شستشو را تشخیص دهید

نویسنده: Tom Mitchelhill