Hàng triệu người gặp nguy hiểm thông qua các liên kết đăng nhập được gửi qua SMS

Nghiên cứu được công bố gần đây cho thấy các trang web xác thực người dùng thông qua các liên kết và mã được gửi trong tin nhắn văn bản đang gây nguy hiểm cho quyền riêng tư của hàng triệu người, khiến họ dễ bị lừa đảo, đánh cắp danh tính và các tội phạm khác.

Các liên kết được gửi đến những người đang tìm kiếm một loạt các dịch vụ, bao gồm cả những người cung cấp báo giá bảo hiểm, danh sách công việc và giới thiệu cho người trông thú cưng và gia sư. Để loại bỏ những rắc rối trong việc thu thập tên người dùng và mật khẩu—và để người dùng tạo và nhập chúng—nhiều dịch vụ như vậy thay vào đó yêu cầu người dùng cung cấp số điện thoại di động khi đăng ký tài khoản. Sau đó, các dịch vụ sẽ gửi liên kết xác thực hoặc mật mã bằng SMS khi người dùng muốn đăng nhập.

Dễ dàng thực hiện ở quy mô lớn

MỘT giấy được xuất bản vào tuần trước đã tìm thấy hơn 700 điểm cuối cung cấp các văn bản như vậy thay mặt cho hơn 175 dịch vụ khiến bảo mật và quyền riêng tư của người dùng gặp rủi ro. Một thực tế gây nguy hiểm cho người dùng là việc sử dụng các liên kết dễ dàng liệt kê, có nghĩa là những kẻ lừa đảo có thể đoán chúng bằng cách sửa đổi mã thông báo bảo mật, thường xuất hiện ở bên phải URL. Ví dụ: bằng cách tăng hoặc đoán ngẫu nhiên token—, trước tiên bằng cách thay đổi 123 thành 124 hoặc ABC thành ABD, v.v., các nhà nghiên cứu có thể truy cập tài khoản của những người dùng khác. Từ đó, các nhà nghiên cứu có thể xem chi tiết cá nhân, chẳng hạn như đơn đăng ký bảo hiểm đã hoàn thành một phần.

Trong các trường hợp khác, các nhà nghiên cứu có thể đã giao dịch kinh doanh nhạy cảm trong khi giả dạng người dùng khác. Các liên kết khác sử dụng rất ít kết hợp mã thông báo có thể đến mức chúng dễ bị ép buộc. Các ví dụ khác về hành vi kém chất lượng là các liên kết cho phép kẻ tấn công có quyền truy cập trái phép truy cập hoặc sửa đổi dữ liệu người dùng mà không cần xác thực nào khác ngoài việc nhấp vào liên kết được gửi qua SMS. Nhiều liên kết cung cấp quyền truy cập tài khoản trong nhiều năm sau khi chúng được gửi, làm tăng thêm nguy cơ truy cập trái phép.

“Chúng tôi lập luận rằng các cuộc tấn công này rất đơn giản để kiểm tra, xác minh và thực hiện trên quy mô lớn, các nhà nghiên cứu từ các trường đại học New Mexico, Arizona, Louisiana và công ty Circle đã viết. “Mô hình mối đe dọa có thể được hiện thực hóa bằng cách sử dụng phần cứng cấp người tiêu dùng và chỉ có kiến thức bảo mật Web cơ bản đến trung cấp.”

Tin nhắn SMS được gửi không được mã hóa. Trong những năm qua, các nhà nghiên cứu đã khai quật cơ sở dữ liệu công khai của các văn bản được gửi trước đó có chứa các liên kết xác thực và chi tiết riêng tư, bao gồm tên và địa chỉ của mọi người. Một khám phá như vậy, từ năm 2019, bao gồm hàng triệu tin nhắn văn bản được gửi và nhận được lưu trữ trong nhiều năm giữa một doanh nghiệp và khách hàng của mình. Nó bao gồm tên người dùng và mật khẩu, ứng dụng tài chính của trường đại học và thông điệp tiếp thị với mã giảm giá và cảnh báo việc làm.

Bất chấp sự bất an đã biết, hoạt động này vẫn tiếp tục phát triển. Vì lý do đạo đức, các nhà nghiên cứu đằng sau nghiên cứu không có cách nào để nắm bắt được quy mô thực sự của nó, bởi vì nó sẽ yêu cầu bỏ qua các biện pháp kiểm soát truy cập, cho dù chúng yếu đến đâu. Là một ống kính chỉ cung cấp một cái nhìn hạn chế về quy trình, các nhà nghiên cứu đã xem các cổng SMS công cộng. Đây thường là các trang web dựa trên quảng cáo cho phép mọi người sử dụng một số tạm thời để nhận văn bản mà không tiết lộ số điện thoại của h. Ví dụ về các cổng như vậy là đây và đây.

Với cái nhìn hạn chế như vậy về các tin nhắn xác thực được gửi qua SMS, các nhà nghiên cứu không thể đo lường phạm vi thực sự của hoạt động này cũng như các rủi ro về bảo mật và quyền riêng tư mà nó gây ra. Tuy nhiên, những phát hiện của họ vẫn đáng chú ý.

Các nhà nghiên cứu đã thu thập được 322.949 URL gửi SMS duy nhất được trích xuất từ hơn 33 triệu văn bản, được gửi đến hơn 30.000 số điện thoại. Các nhà nghiên cứu đã tìm thấy nhiều bằng chứng về các mối đe dọa về bảo mật và quyền riêng tư đối với những người nhận chúng. Trong số đó, các nhà nghiên cứu cho biết, các tin nhắn bắt nguồn từ 701 điểm cuối được gửi thay mặt cho 177 dịch vụ đã tiết lộ “thông tin nhận dạng cá nhân quan trọng.” Nguyên nhân sâu xa của việc lộ thông tin là do xác thực yếu dựa trên các liên kết được mã hóa để xác minh. Sau đó, bất kỳ ai có liên kết đều có thể lấy thông tin cá nhân của users’—, bao gồm số An sinh xã hội, ngày sinh, số tài khoản ngân hàng và điểm tín dụng— từ các dịch vụ này.

Trong số 701 dịch vụ, 125 dịch vụ cho phép “liệt kê hàng loạt các URL hợp lệ do entropy.” thấp Những kẻ tấn công đã nhận được liên kết từ cùng một dịch vụ sau đó có thể dễ dàng sửa đổi các mã thông báo mà họ có để truy cập vào tài khoản của người khác.

Do tầm nhìn hạn chế vào thực tế, những con số này có thể đánh giá thấp đáng kể số lượng dịch vụ thực sự gây nguy hiểm cho tính bảo mật và quyền riêng tư của người dùng bằng cách gửi các liên kết như vậy.

Việc gửi rộng rãi các liên kết không an toàn trong tin nhắn SMS có nghĩa là có rất ít bước cụ thể mà hầu hết mọi người có thể thực hiện để bảo vệ bản thân. Lùi lại và đánh giá các quy trình xác thực yếu kém nói chung, Muhammad Danish, tác giả chính của bài báo, đã viết trong một email:

Nguyên nhân gốc rễ mà chúng tôi tìm thấy có liên quan đến các nhà cung cấp dịch vụ và gánh nặng là do h. Chúng tôi có thể nói rằng người dùng không nên cung cấp chi tiết nhạy cảm cho các nguồn không đáng tin cậy, nhưng đề xuất đó không thành công trong trường hợp của chúng tôi vì danh sách của chúng tôi bao gồm cả các nhà cung cấp dịch vụ được thiết lập tốt với hàng triệu người dùng đang hoạt động. Người dùng có thể giúp chúng tôi bằng cách báo cáo cho các nhà cung cấp dịch vụ hoặc xóa dữ liệu của họ cho đến khi được khắc phục nếu họ thấy bất kỳ vấn đề nào trong số này trên trang web.

Ví dụ về các dịch vụ vi phạm có thể được tìm thấy trong bài viết được liên kết ở trên.

Cách làm này phổ biến vì nó áp đặt mức độ xung đột thấp hơn đối với khách hàng tiềm năng. Một lợi ích khác là các điểm cuối không phải thu thập và lưu trữ tên người dùng và mật khẩu, đã được chứng minh nhiều lần là dễ dàng bị tin tặc đánh cắp. Một lý do khác mà chúng được sử dụng là giả định sai lầm của những người thiết lập dịch vụ rằng các liên kết như vậy sẽ hạn chế tất cả những người khác so với những người đã gửi văn bản và cấu hình sai điểm cuối hoặc thiếu đánh giá bảo mật về chúng.

Muhammad, giống như các chuyên gia bảo mật khác, cho biết các liên kết xác thực được gửi bằng SMS hoặc email không tự động không an toàn miễn là các liên kết tồn tại trong thời gian ngắn, hết hạn sau lần đăng nhập đầu tiên và có mã thông báo bảo mật bằng mật mã. Các trang web quan tâm đến quyền riêng tư, bao gồm DuckDuckGo và 404 Media, đã chọn xác thực người dùng bằng “magic link” mà Lừa đã gửi đến địa chỉ email của chủ tài khoản.