- Регистрация
- 23 Сен 2020
- Сообщения
- 92
- Реакции
- 5
- Репутация
- 8
В 2020 году даже если злоумышленник попал в ваш аккаунт социальной сети, это неприятно, но не критично. Ведь у нас есть двухфакторная аутентификация на многие важные действия, а доступа к почте/телефону у злоумышленника нет и аккаунт ему не угнать. Так ведь? Нет
В Instagram - социальной сети, которую использует 1 миллиард пользователей (⅛ населения планеты) все совсем не так. И исправлять они это отказались. В этой статье я расскажу вам о логической уязвимости, которая может позволить захватить аккаунт человека, пока он не обратится в тех. поддержку.
Интересно? Поехали!
Смена email и номера телефона
Итак, злоумышленник каким-то образом зашел в ваш Инстаграм аккаунт в приложении или в веб-версию. Возможно, он просто узнал ваш логин и пароль, или может вы забыли выйти на общественном компьютере, это уже не столь важно. Двухфакторная аутентификация же по умолчанию у всех отключена.
В письмах на почте об изменениях в аккаунте вас будут ждать ссылки возврата “secure your account here” (). Они позволяют легко восстановить старое значение email и телефон, переход по ним позволит все откатить. Это ЕДИНСТВЕННЫЙ механизм защиты от перехвата аккаунта, но он работает. А можно ли его обойти? Да, можно.
Account Takeover
Чтобы получить контроль над аккаунтом и не дать владельцу вернуть его обратно, нужно лишь не позволить ему использовать ссылки возврата. Немного обозначений:
При моих тестах было достаточно 3 повторений шагов, чтобы ВСЕ ссылки возврата на ВСЕХ почтах перестали работать. Их использование несколько раз за короткий промежуток времени приводит к блокировки функции возврата “secure your account here“. Злоумышленник же может автоматизировано повторять шаги, чтобы продлить блокировку. Теперь аккаунт без вмешательства тех. поддержки не вернуть, ведь ссылки даже на первоначальном email не работают, а из всех приложений жертву выкинуло после первых действий.
Решения
Решений это проблемы множество, самые важные компенсирующие меры:
В Instagram - социальной сети, которую использует 1 миллиард пользователей (⅛ населения планеты) все совсем не так. И исправлять они это отказались. В этой статье я расскажу вам о логической уязвимости, которая может позволить захватить аккаунт человека, пока он не обратится в тех. поддержку.
Интересно? Поехали!
Смена email и номера телефона
Итак, злоумышленник каким-то образом зашел в ваш Инстаграм аккаунт в приложении или в веб-версию. Возможно, он просто узнал ваш логин и пароль, или может вы забыли выйти на общественном компьютере, это уже не столь важно. Двухфакторная аутентификация же по умолчанию у всех отключена.
Ночью, где-то в 3-4 утра, когда вы скорее всего спите, он удаляет привязанный номер телефона.Может ли он что-то такое устроить, чтоб завладеть вашим аккаунтом на продолжительно время? Да, может и в этом как раз проблема.
- Нужно ли подтверждение с телефона? Нет, не нужно.
- Придет ли смс на номер телефона? Нет, не придет.
- Прилетит ли Push-уведомление в приложение? Нет, не прилетит.
- Нужно ли подтверждение с прошлого email? Нет, не нужно.
- Прилетит ли Push-уведомление в приложение? Нет, не прилетит.
В письмах на почте об изменениях в аккаунте вас будут ждать ссылки возврата “secure your account here” (). Они позволяют легко восстановить старое значение email и телефон, переход по ним позволит все откатить. Это ЕДИНСТВЕННЫЙ механизм защиты от перехвата аккаунта, но он работает. А можно ли его обойти? Да, можно.
Account Takeover
Чтобы получить контроль над аккаунтом и не дать владельцу вернуть его обратно, нужно лишь не позволить ему использовать ссылки возврата. Немного обозначений:
- “[email protected]” - почта владельца аккаунта, к которой был привязан аккаунт.
- "[email protected]” - первая почта злоумышленника.
- “[email protected]” - вторая почта злоумышленника.
- Хакер удаляет телефон жертвы из аккаунта и меняет почту [email protected] на [email protected].
- Хакер подтверждает почту [email protected].
- Хакер меняет почту [email protected] на [email protected].
- Хакер подтверждает почту [email protected].
- Хакер нажимает на ссылку возврата “secure your account here” (“**) на “[email protected]” и восстанавливает настройки аккаунта к первоначальным с Шага 1, при этом меняя и пароль.
При моих тестах было достаточно 3 повторений шагов, чтобы ВСЕ ссылки возврата на ВСЕХ почтах перестали работать. Их использование несколько раз за короткий промежуток времени приводит к блокировки функции возврата “secure your account here“. Злоумышленник же может автоматизировано повторять шаги, чтобы продлить блокировку. Теперь аккаунт без вмешательства тех. поддержки не вернуть, ведь ссылки даже на первоначальном email не работают, а из всех приложений жертву выкинуло после первых действий.
Решения
Решений это проблемы множество, самые важные компенсирующие меры:
- Внедрить подтверждение смены email и телефона отправкой сообщения на предыдущий email/телефон.
- Блокировать лишь ссылки возврата на определенных email, а не на всех.
- Уведомлять об изменения в аккаунте в приложении и/или смс.
“В рамках использования описанной вами проблемы кто-то должен взять под контроль устройство пользователя и перевести это устройство в разблокированное и аутентифицированное состояние. Это очень высокий барьер для входа и, похоже, вряд ли произойдет обычно, что делает эту атаку скорее теоретической. Защита в этом случае заключается в том, чтобы не позволить кому-либо украсть и разблокировать ваше устройство.”
- То есть, это в целом невозможно?
- И перехват веб-версии, через которую я и проделал все описанное выше - не считается?