به روز رسانی جدید 2FA authenticator گوگل ممکن است کاربران را در برابر حملات تک نقطه ای و کلاهبرداری های «تعویض سیم کارت» آسیب پذیر کند.
گوگل یک به روز رسانی را برای برنامه احراز هویت محبوب خود منتشر کرده است که یک “کد یکبار مصرف” را در فضای ذخیره سازی ابری ذخیره می کند.
در یک پست وبلاگی در ۲۴ آوریل که این بهروزرسانی را اعلام کرد، گوگل گفت که کدهای یکبار مصرف در حساب Google کاربر ذخیره میشوند و ادعا میکنند که کاربران در برابر قفلها محافظت بهتری خواهند داشت و این باعث افزایش راحتی و امنیت میشود.
کاربر Reddit u/pojut در یک پست Reddit در 26 آوریل در انجمن r/Cryptocurrency نوشت که اگرچه این به روز رسانی به افرادی که دستگاه خود را با برنامه احراز هویت گم می کنند کمک می کند، اما آنها را در برابر هکرها آسیب پذیرتر می کند.
ایمن کردن این مورد در فضای ذخیرهسازی ابری مرتبط با حساب Google کاربر به این معنی است که هر کسی که بتواند به رمز عبور Google کاربر دسترسی داشته باشد، به برنامههای مرتبط با احراز هویت خود دسترسی کامل خواهد داشت.
کاربر پیشنهاد کرد که یک راه ممکن برای دور زدن مشکل SMS 2FA استفاده از تلفن قدیمی است که فقط برای میزبانی برنامه احراز هویت شما استفاده می شد.
همچنین، در صورت امکان، اکیداً توصیه میکنم یک دستگاه جداگانه (شاید یک تلفن قدیمی یا یک تبلت قدیمی) داشته باشید که تنها برای هدف خود در زندگی استفاده میشود، برنامه احراز هویت انتخابی شما. چیز دیگری را روی آن نگه ندارید و از آن استفاده کنید. برای هیچ چیز دیگری.»
به طور مشابه، توسعه دهندگان امنیت سایبری mysk گرفت توییتر برای هشدار در مورد عوارض اضافی که با راه حل مبتنی بر ذخیره سازی ابری Google برای 2FA همراه است.
گوگل به تازگی برنامه 2FA Authenticator خود را به روز کرده و یک ویژگی بسیار مورد نیاز را اضافه کرده است: توانایی همگام سازی اسرار بین دستگاه ها.
TL;DR: آن را باز نکنید.
بهروزرسانی جدید به کاربران امکان میدهد با حساب Google خود وارد شوند و اسرار 2FA را در دستگاههای iOS و Android همگامسازی کنند. pic.twitter.com/a8hhelupZR
— Mysk (@mysk_co) 26 آوریل 2023
این میتواند برای کاربرانی که از Google authenticator برای 2FA برای ورود به حسابهای صرافی ارز دیجیتال و سایر خدمات مرتبط با امور مالی استفاده میکنند، نگرانی بزرگی باشد.
متداولترین حمله 2FA نوعی جعل است که به نام «تعویض سیمکارت» شناخته میشود، که در آن کلاهبرداران با فریب دادن ارائهدهنده مخابرات برای پیوند دادن شماره به سیم کارت خود، کنترل شماره تلفن را در دست میگیرند.
نمونه اخیر این مورد را می توان در شکایتی که علیه صرافی ارزهای دیجیتال مستقر در ایالات متحده Coinbase تنظیم شده است مشاهده کرد، جایی که یک مشتری ادعا کرد که “90٪ پس انداز زندگی خود” را پس از قربانی شدن در چنین حمله ای از دست داده است.
Coinbase استفاده از برنامه های احراز هویت را برای 2FA به جای SMS تشویق می کند و SMS 2FA را به عنوان “کمترین امن ترین” فرم احراز هویت توصیف می کند.
فکر می کنم رمزش به خطر افتاده چون در سایت های دیگر استفاده شده و یکی از آنها نقض شده است. همچنین، Coinbase برنامه Authenticator را با برچسب گذاری آن برای 2FA تشویق می کند. "قابل اعتماد" و بصورت اس ام اس "نسبتاً ایمن".
دیو فرگوسن (@_sc0rn) 7 مارس 2023
مرتبط با: OFAC معامله گران فرابورس را که برای گروه Lazarus کره شمالی به ارز دیجیتال تبدیل کرده بودند، تحریم کرد.
در Reddit، کاربران در مورد این پرونده بحث کردند و حتی پیشنهاد ممنوعیت SMS 2FA را دادند. همانطور که یکی از کاربران Reddit اشاره کرد، در حال حاضر به عنوان تنها گزینه احراز هویت موجود برای تعدادی از خدمات فین تک و مرتبط با ارزهای دیجیتال است:
“متاسفانه، بسیاری از سرویسهایی که من استفاده میکنم هنوز Authenticator 2FA را ارائه نمیدهند. اما قطعاً فکر میکنم رویکرد پیامک ناامن است و باید ممنوع شود.”
شرکت امنیتی بلاک چین CertiK در مورد خطرات استفاده از SMS 2FA هشدار داده است و Jesse Leclere، کارشناس امنیتی به Cointelegraph گفت: “SMS 2FA بهتر از هیچ است، اما آسیب پذیرترین شکل 2FA است که در حال حاضر استفاده می شود.”
مجله: از هر 10 فروش NFT، 4 مورد جعلی است: یاد بگیرید علائم تجارت شستشو را تشخیص دهید
نویسنده: Tom Mitchelhill