Soy el director ejecutivo de TextPower y quería abordar su pregunta directamente. Gracias por tomarse el tiempo para armar una consulta reflexiva.
Creo que tienes que dar un paso atrás y mirar la imagen más grande aquí. El producto 2Key de TextPower TextKey funciona sobre la base de que debe tener la posesión física del teléfono, incluida la tarjeta SIM para autenticarse correctamente. Si posee físicamente más de un teléfono, puede usar cualquiera de ellos, pero solo el que está registrado con TextPower se puede usar para autenticar con la TextKey 2FA. Si tiene un teléfono con una tarjeta SIM reemplazable (teléfonos GSM estándar, como los que se encuentran en AT & T o T-Mobile), puede mover esa tarjeta SIM a múltiples dispositivos que tengan tarjetas SIM reemplazables. Esto se debe a que está en posesión física de la tarjeta SIM que lleva el UDID que el teléfono utiliza para comunicarse con la red. Tenga en cuenta que el número de teléfono NO aparece en la tarjeta SIM. Sólo el UDID identifica el teléfono físico. El UDID es un número único realmente largo y es lo que ve el operador cuando una llamada o un SMS pasa por su sistema; no "ven" el número de teléfono.
Entonces, ¿podrías clonar una tarjeta SIM de un teléfono y luego usarla? En teoría, sí, pero en la práctica es extremadamente difícil de hacer y muy poco práctico (e improbable) desde el punto de vista de la piratería. ¿Por qué? Como para clonar una SIM, tendría que robar el teléfono de alguien, retirar la tarjeta SIM y luego tener acceso a una grabadora que podría hacer una tarjeta SIM. Tendrías que tener un suministro de tarjetas SIM en blanco. Para cuando lo haya hecho, el propietario probablemente informará que el teléfono fue robado y su operador anularía el UDID, por lo que la tarjeta SIM robada sería inútil, excepto por proporcionar una forma maravillosa para que la policía lo rastree y lo detenga. (El número de criminales arrestados de esta manera ahora es relativamente grande). El propietario del teléfono / tarjeta SIM robados también podría detenerlo simplemente al cancelar el registro de su teléfono con TextPower.
Además, puedes pensar que puedes robar la tarjeta SIM de alguien, clonarla y luego reemplazarla en el dispositivo original sin el conocimiento del propietario. Desafortunadamente, lo que sucede en ese caso es que además de todos los problemas enumerados en el párrafo anterior, habrá creado un par de otros problemas. (Por supuesto, primero tiene que administrar el robo del dispositivo, clonar la tarjeta SIM Y reemplazarla sin que el propietario lo sepa, no es tarea fácil, pero lo dejaremos por ahora). El problema adicional que ha creado en este La situación es que si el dispositivo original que logró robar y devolver se encendió cuando encendió su dispositivo con la tarjeta SIM robada / clonada, fallaría el registro de la red debido al UDID duplicado (sí, los operadores lo observan). em> muy de cerca). Si su dispositivo robado fue encendido primero, entonces el verdadero dueño de la tarjeta SIM no pudo registrar su dispositivo. Es probable que informen esto rápidamente a su operador, que descubrirá el UDID duplicado y luego lo invalidará.
¿Es TextKey absolutamente imposible de hackear? Ciertamente no diríamos eso. Como cualquier esquema de autenticación, hay formas teóricas de romperlo. Sin embargo, en la práctica, las formas de romperlo están fuera del alcance de cualquier persona con menos recursos y recursos.
disposición para usar el robo significativo y tomar un riesgo considerable. Es por eso que, aunque no promocionamos a TextKey como "no hackeable", sí creemos que es más seguro que otros métodos 2FA, particularmente aquellos que usan un SMS con terminación móvil donde se envía un código al teléfono, por lo que se abre el proceso de autenticación a un ataque del navegador MITM / MITB en el sitio web en cuestión.
Espero que esto responda a tu pregunta claramente. Me complace abordar cualquier pregunta o inquietud más detallada que pueda tener y aprecio sinceramente su interés.