¿Es la autenticación del factor TextKey SMS 2 segura contra la clonación de teléfonos celulares?

3

Me encontré con este sitio web que implementa una autenticación basada en SMS que funciona "de manera opuesta" a la mayoría de los métodos de autenticación de SMS.

En la autenticación típica de SMS, el proveedor le envía un código de acceso que utiliza para iniciar sesión en el sitio. El sistema TextKey funciona al revés: cuando inicia sesión en un sitio, muestra un código especial que escribe en un mensaje SMS y lo envía al proveedor para completar la autenticación.

El sitio web TextKey afirma que esto es más seguro e inmune a clonación de teléfonos porque el teléfono envía un UDID que está codificado en el teléfono junto con el mensaje SMS y, a menos que su teléfono tenga el UDID correcto, el proveedor de telefonía celular no aceptará el mensaje. Esto hace que la clonación sea mucho más difícil porque el atacante tendría que cambiar esta ID codificada que se graba en el teléfono y es inmutable. )

¿Es esto cierto? He movido una tarjeta SIM entre varios teléfonos y no he tenido problemas para enviar y recibir mensajes SMS desde el número de teléfono asociado con esa SIM, a pesar de no haber registrado nunca un UDID (IMEI, lo que sea) con el proveedor. ¿Un proveedor de código corto puede ver el IMEI o MEID único del teléfono?

Parece que este sistema enfrenta el mismo riesgo de intercepción debido a la clonación que cualquier otro método de autenticación basado en SMS: si alguien es capaz de clonar la tarjeta SIM de un teléfono, puede enviar y recibir mensajes de texto como ese usuario, sin pasar por la Parte de SMS de la autenticación.

    
pregunta Johnny 25.05.2013 - 01:53
fuente

2 respuestas

3

Soy el director ejecutivo de TextPower y quería abordar su pregunta directamente. Gracias por tomarse el tiempo para armar una consulta reflexiva.

Creo que tienes que dar un paso atrás y mirar la imagen más grande aquí. El producto 2Key de TextPower TextKey funciona sobre la base de que debe tener la posesión física del teléfono, incluida la tarjeta SIM para autenticarse correctamente. Si posee físicamente más de un teléfono, puede usar cualquiera de ellos, pero solo el que está registrado con TextPower se puede usar para autenticar con la TextKey 2FA. Si tiene un teléfono con una tarjeta SIM reemplazable (teléfonos GSM estándar, como los que se encuentran en AT & T o T-Mobile), puede mover esa tarjeta SIM a múltiples dispositivos que tengan tarjetas SIM reemplazables. Esto se debe a que está en posesión física de la tarjeta SIM que lleva el UDID que el teléfono utiliza para comunicarse con la red. Tenga en cuenta que el número de teléfono NO aparece en la tarjeta SIM. Sólo el UDID identifica el teléfono físico. El UDID es un número único realmente largo y es lo que ve el operador cuando una llamada o un SMS pasa por su sistema; no "ven" el número de teléfono.

Entonces, ¿podrías clonar una tarjeta SIM de un teléfono y luego usarla? En teoría, sí, pero en la práctica es extremadamente difícil de hacer y muy poco práctico (e improbable) desde el punto de vista de la piratería. ¿Por qué? Como para clonar una SIM, tendría que robar el teléfono de alguien, retirar la tarjeta SIM y luego tener acceso a una grabadora que podría hacer una tarjeta SIM. Tendrías que tener un suministro de tarjetas SIM en blanco. Para cuando lo haya hecho, el propietario probablemente informará que el teléfono fue robado y su operador anularía el UDID, por lo que la tarjeta SIM robada sería inútil, excepto por proporcionar una forma maravillosa para que la policía lo rastree y lo detenga. (El número de criminales arrestados de esta manera ahora es relativamente grande). El propietario del teléfono / tarjeta SIM robados también podría detenerlo simplemente al cancelar el registro de su teléfono con TextPower.

Además, puedes pensar que puedes robar la tarjeta SIM de alguien, clonarla y luego reemplazarla en el dispositivo original sin el conocimiento del propietario. Desafortunadamente, lo que sucede en ese caso es que además de todos los problemas enumerados en el párrafo anterior, habrá creado un par de otros problemas. (Por supuesto, primero tiene que administrar el robo del dispositivo, clonar la tarjeta SIM Y reemplazarla sin que el propietario lo sepa, no es tarea fácil, pero lo dejaremos por ahora). El problema adicional que ha creado en este La situación es que si el dispositivo original que logró robar y devolver se encendió cuando encendió su dispositivo con la tarjeta SIM robada / clonada, fallaría el registro de la red debido al UDID duplicado (sí, los operadores lo observan). em> muy de cerca). Si su dispositivo robado fue encendido primero, entonces el verdadero dueño de la tarjeta SIM no pudo registrar su dispositivo. Es probable que informen esto rápidamente a su operador, que descubrirá el UDID duplicado y luego lo invalidará.

¿Es TextKey absolutamente imposible de hackear? Ciertamente no diríamos eso. Como cualquier esquema de autenticación, hay formas teóricas de romperlo. Sin embargo, en la práctica, las formas de romperlo están fuera del alcance de cualquier persona con menos recursos y recursos. disposición para usar el robo significativo y tomar un riesgo considerable. Es por eso que, aunque no promocionamos a TextKey como "no hackeable", sí creemos que es más seguro que otros métodos 2FA, particularmente aquellos que usan un SMS con terminación móvil donde se envía un código al teléfono, por lo que se abre el proceso de autenticación a un ataque del navegador MITM / MITB en el sitio web en cuestión.

Espero que esto responda a tu pregunta claramente. Me complace abordar cualquier pregunta o inquietud más detallada que pueda tener y aprecio sinceramente su interés.

    
respondido por el scott721 28.05.2013 - 19:47
fuente
0

Al leer su sitio, parece que tienen asociaciones con operadores de telefonía que identifican a los remitentes de SMS (por lo que asumo que usted envía un texto en lugar de recibir el suyo) en función de una ID única vinculada a su SIM (la mayoría probablemente el ICCID) para ir alrededor de la falsificación de identificador de llamadas.

Esto es más seguro que enviar un texto normal (donde cualquier persona que falsifique el número sería autenticada), pero sigue siendo insegura, ya que las fallas GSM permitirían que cualquier persona cercana al teléfono lo falsifique (y sería invisible para el teléfono). Ojos del transportista, por lo que el UUID sería el mismo).

Sin mencionar las vulnerabilidades del operador, ya que este sistema se basa completamente en confiar en que el operador no mienta. He trabajado para uno y parece que lo que sucede detrás de la escena, no es bonito y no me sorprendería si ya hubiera malware instalado en algunas máquinas críticas que tienen acceso administrativo al equipo de red. Los empleados corruptos también podrían romper fácilmente este sistema.

¿Por qué pasar por todos estos problemas donde ya tenemos un método de roca sólida disponible ? Además de su (in) aspecto de seguridad, esto tiene la desventaja de que requiere una conexión de red y los usuarios deben ser suscriptores de un proveedor asociado y estar conectados a su red, no funcionaría para personas que viven en el extranjero o que viajan.

    
respondido por el André Borie 04.11.2016 - 01:24
fuente

Lea otras preguntas en las etiquetas