简体中文 | 繁體中文 | English

V-KEY

大部分行動身分驗證器應用程式存在設計缺陷,易遭駭客攻擊

最新研究顯示,即使擁有硬體安全防護,大部分行動身分驗證應用程式依然存在重大漏洞

2021-10-13 10:29
  • zh_cn
  • zh_hant
  • en

新加坡--(美國商業資訊)--數位化發展正推高人們對強大數位化身分功能的需求。麥肯錫近期發表的一分調查1報告顯示,新冠肺炎疫情顯著加快了全球的數位化過程。大部分受訪者表示,自己與使用者或客戶的互動中至少有80%是透過數位化方式進行的,而疫情前僅為58%。遺憾的是,各類組織機構也因此遭受了越來越多的網路攻擊,攻擊形式大多為勒索軟體攻擊以及線上帳戶和金融帳戶劫持。

這種狀況反而促進了多重驗證市場的成長。ResearchAndMarkets.com估計,2020年多重驗證市場的規模高達106.4億美元(到2026年,市場規模約增至283.4億美元2)。對於銀行、金融服務或電子政務應用程式而言,這意味著它們應採用某種雙重驗證技術(2FA),通常包括透過簡訊傳送的動態密碼(OTP),以及由硬體權杖或行動身分驗證器應用程式產生的代碼。

遺憾的是,經證實,透過簡訊傳送的OTP並不安全,容易被攔截及遭受網路釣魚攻擊。硬體權杖的安裝成本高、使用不便,還需要定期更換。行動身分驗證器被人們視為更為安全、方便的選項,許多身分驗證器具有用於產生OTP代碼的金鑰,由手機內建的專業硬體(稱為信任執行環境或TEE)保護。

但「更安全」不一定意味著「完美」,一項針對以往被人忽略的設計缺陷的最新研究進一步證實了這點。

最令人苦惱的是,如果身分驗證器本身不可靠,那麼數位服務就會被惡意軟體操控,或被不法分子進行逆向工程操作,最終可能導致帳戶劫持、資料外洩、網路詐騙或更嚴重的後果。

作為全球首個虛擬安全元件的開發企業,新加坡軟體型數位安全公司V-Key最近發表了一分白皮書,揭示大部分行動身分驗證應用程式如何遭惡意軟體攻破。不論手機提供何種硬體防護,這實際上都難以避免。

大部分身分驗證應用程式採用金鑰來產生代碼,用於驗證用戶身分。這些應用程式就像是藏寶箱,只有這些金鑰才能打開。如果這些金鑰被盜,駭客就能利用「劫來的金鑰」,假冒使用者驗證交易或簽署文件。正基於此,大部分身分驗證應用程式都竭力採用最安全的金鑰儲存技術。

眾多開發人員認為,這就相當於手機的信任執行環境。在Android手機中,這被稱為StrongBox Keystore。在Apple手機中,這被稱為iOS Secure Enclave(它有一個名為Keychain的配套軟體,用於儲存密碼等加密資料)。

V-Key技術長Er Chiang Kai表示:「遺憾的是,它們的架構設計普遍存在缺陷,容易被駭客攻擊。我們發現惡意軟體可以用來獲取目標人群的驗證器金鑰,便於駭客進行未經授權的交易或簽署偽造文件。越獄手機、根設備或易受所謂『權限提升漏洞』影響的機型尤其如此。我們把這種設計缺陷稱為信任缺口(Trust Gap)。」

這到底是如何運作的呢?試想一下,有人使用行動身分驗證應用程式來產生2FA的OTP或簽署數位文件。某天,他們發現一款有趣的手機遊戲或加密貨幣諮詢應用程式,並決定下載、安裝和試用。

用戶並沒察覺這款遊戲或加密貨幣諮詢應用實際上是惡意軟體,而此類惡意軟體可以利用權限提升漏洞,攻破用戶的行動身分驗證應用程式。「權限提升」是一種利用作業系統或軟體應用程式中的漏洞、設計缺陷或設定疏忽的行為,目的是獲得通常受其它應用程式或用戶保護的資源(如金鑰)的存取權限。其造成的結果是,惡意軟體獲得了比預期更多的權限——並因此可以存取機密資料,進行未經授權的操作。

通常人們堅信Android Keystore或iOS Secure Enclave保護金鑰的能力,因此不會想到有人可能會非法入侵他們的身分驗證器。然而,當他們玩新遊戲或計算最新加密貨幣的投資報酬率時,不良行為者可能已經在竊取他們的金鑰,更精確地說,竊取他們被稱為「OTP種子」的身分驗證器金鑰。

OTP種子是許多OTP權杖的「獨有秘方」。這種加密資產(連同計數器或時間)被輸入到身分驗證器的OTP演算法中,以產生OTP代碼。現在,駭客可利用OTP種子產生的與目標人群身分驗證器產生的一樣的OTP。換句話說,駭客實際上已經擁有了用戶的數位化身分。

這是一種隱秘且複雜的攻擊,因為目標身分驗證應用程式甚至不需要執行,或者在資料不被篡改的情況下遭攻擊。當被問及這一漏洞時,Google和蘋果公司均表示,他們對用戶的手機操作概不負責。蘋果公司還特別提及,這個漏洞主要影響越獄的蘋果手機,該公司認為越獄手機已經超出了官方允許使用的範圍。這一立場與槍支製造商在處理槍殺死亡事件時所持的立場基本相似。

上述場景主要涉及OTP種子。一些身分驗證器依賴於其它類型的加密資產,如公開金鑰基礎建設金鑰(PKI)。遺憾的是,PKI也會遭類似方式的克隆或竊取。V-Key的白皮書詳述了駭客成功運作的方式。

在急於快速成長和獲得更多客戶的過程中,由於過度信任,企業和電子政務應用程式的開發者實際上都忽略了這個重大的安全性漏洞。但如果簡訊OTP甚至行動身分驗證應用程式都可以被破解,設備和作業系統層也幫助甚微,那麼普通用戶到底該怎麼辦?消除信任缺口的最佳方式又是什麼?

V-Key技術長Er表示,最佳解決方案是提供一種方法來識別系統中的每個端點——無論是應用程式、伺服器,還是單一物聯網設備。綁定到每個應用程式的安全元件,如V-Key的應用程式身分解決方案,可作為應用程式的身分和完整性證明,無需任何外來的身分驗證器,也不會影響用戶體驗。

隨著數位化以前所未有的速度擴張,支援身分驗證和信任的能力變得至關重要。畢竟,只要破解一個行動身分驗證應用程式,就能滲入企業或政府的數位服務,並可能導致整個系統癱瘓。由此造成的損失並不限於經濟處罰和民事責任,還會導致品牌和聲譽損失,有時這種損失根本無法彌補。

關於V-KEY

V-Key是一家軟體型數位安全公司,其技術為針對數位身分管理、使用者身分驗證和授權的超高安全性解決方案提供支援。公司提供簡單而安全的通用數位身分服務,將全球各地的人、組織和設備相連結,並深受星展銀行(DBS)、華僑銀行(OCBC)、大華銀行(UOB)等客戶和合作夥伴的信任。

V-Key擁有國際專利的V-OS是全球首個虛擬安全元件,其先進的加密和網路安全保護功能符合全球標準(EAL 3+評比和FIPS 140-2),如此高的安全等級之前僅用於昂貴的硬體解決方案。

1 https://www.mckinsey.com/business-functions/strategy-and-corporate-finance/our-insights/how-covid-19-has-pushed-companies-over-the-technology-tipping-point-and-transformed-business-forever
2 https://www.businesswire.com/news/home/20210311005630/en/28.34-Billion-Multi-factor-Authentication-Market---Global-Growth-Trends-and-Forecasts-2021-2026---ResearchAndMarkets.com

原文版本可在businesswire.com上查閱:https://www.businesswire.com/news/home/20211008005015/en/

免責聲明:本公告之原文版本乃官方授權版本。譯文僅供方便瞭解之用,煩請參照原文,原文版本乃唯一具法律效力之版本。

聯絡方式:

Victor R .Ocampo
victor.ocampo@v-key.com
+65 81126741
info@v-key.com

關注我們:
LinkedIn - https://www.linkedin.com/company/v-key-inc/mycompany/
Twitter - @v-key_inc
http://www.v-key.com/ 

分享到: