Apenas en un par de días después que Twitter anunció la autenticación de doble factor(2FA-two factor authentication), investigadores de la empresa F-Secure realizaron pruebas demostrando que puede hackearse.
El investigador Sean Sullivan de F-Secure describe en el blog que el mecanismo de implementación inicial de doble factor se basa en el uso de mensajes SMS. También se usan SMS para enviar twits e incluso para enviar comandos para, por ejemplo, dejar de recibir twits por SMS.
Fue justamente mediante algunas pruebas de mensajes SMS y especulando con la posibilidad de hacer envío de SMS falsificados que les permitió comprobar que se puede inactivar el mecanismo de doble factor si se conoce el número de celular asociado a una cuenta de Twitter.
Con esos elemento a los atacantes se le abren al menos dos posibilidades de ataque, una sería la de des-asociar el número de celular de la cuenta de Twitter y con ello deshabilitar la autenticación de doble factor, y la otra posibilidad es que si una cuenta no tiene habilitado aún 2FA, el atacante podría registrar y habilitar un número de celular al azar, y de esa manera impedir o bloquear el uso de esa cuenta de Twitter sin posibilidad de recuperarla sino es con la intervención del personal de soporte.
Fuente : F-Secure
0 comentarios:
Publicar un comentario