¿Se podría interceptar un 2FA basado en SMS hablado (TTS)?

3

A mediados de junio, Lastpass volvió a ser noticia, y desde entonces he estado segando la idea de la autenticación de dos factores. Después de familiarizarme con SMS y Google Authenticator, pensé que el SMS era un poco más fácil de usar. Aunque no es tan generalizado ni tan seguro como el último, seguramente es mejor que una sola contraseña ...?

De todos modos, había estado hurgando dentro de Tasker (aplicación de automatización), cuando de repente tuve una idea. ¿Sería una mala idea usar texto a voz en un 2FA basado en SMS (leerlo en voz alta)? ¿Sería menos seguro que desbloquear el teléfono y leer el mensaje? Teniendo en cuenta los permisos / malware / etc, siento que podría ser interceptado si quisiera, pero no estoy educado en los esquemas para saber algo mejor. Me gustaría saber si esta sería una opción viable o sería demasiado insegura.

    
pregunta Double 04.07.2015 - 04:51
fuente

3 respuestas

1

Creo que la respuesta depende de aquello contra lo que intentas protegerte. Ciertamente, el hecho de que el mensaje se lea en voz alta reduce un tanto la seguridad de los mensajes SMS como 2FA. Esto significa que alguien puede obtener su teléfono y usarlo como 2FA para Lastpass sin necesidad de desbloquearlo.

Pero si le preocupan los ataques de red generalizados contra LP, similar al reciente a mediados de junio, no veo cómo tener el código de autenticación en voz alta disminuye la seguridad.

Cualquier mecanismo 2FA ofrecido por LP será, en la mayoría de los casos, más seguro que solo usando la autenticación de un solo factor. Así que incluso los mensajes SMS hablados ayudarán en la mayoría de los casos.

PS: Una cosa a tener en cuenta, los mensajes SMS no están cifrados de extremo a extremo. Ciertamente su proveedor de telefonía móvil puede leer sus mensajes SMS. Es posible que otras aplicaciones en su teléfono también puedan hacerlo. Las aplicaciones como PushBullet se pueden usar para replicar mensajes SMS en una computadora (y probablemente en los servidores de PushBullet), lo que aumenta aún más las posibilidades de que sean vistos por un atacante Consulte esta respuesta para obtener más información en Seguridad de SMS para 2FA .

    
respondido por el Neil Smithline 05.07.2015 - 07:17
fuente
0

Si entiendo correctamente, te refieres a recibir un sms y hacer que tu teléfono te capture diciendo un código / texto en voz alta. Veo dos posibles actores maliciosos: las entidades externas y su teléfono. Si alguien a su alrededor sabe que está usando ese método, él / ella puede capturar su voz y luego usarla para otras autenticaciones (manteniendo la voz y cambiando el código / texto). Entonces, nuevamente, eso requeriría que el atacante malintencionado tenga acceso a los sms para conocer el mensaje y al teléfono para capturar la voz (el teléfono de la víctima está vinculado a la cuenta). Además, no está a salvo de haber capturado su voz (a menos que deje de hablar: P). En cuanto al teléfono como una amenaza, un malware puede capturar su voz y su código, pero nuevamente, si su teléfono se ve comprometido, tiene problemas más grandes e incluso sin autenticación de voz, se atornilla.

Ahora, lo que podría hacer es sentarme junto a ti en Starbucks y supongamos que conozco tu correo electrónico (estoy hablando de un 2FA típico en gmail). Podría intentar iniciar sesión un poco después de usted (la recepción de SMS es casi instantánea). Usted recitaría los sms enviados para autenticarme. Ahora estoy en :). Esto supone que la persona cree que hubo un error de Google que le envió dos códigos (el que no es paranoico lo deja pasar). Notaría que no podría iniciar sesión y solicitaría otro código / mensaje. Aun así, ya estaría leyendo tus correos electrónicos.

Esto sería divertido de ver, debo decir.

¡Mantente seguro!

    
respondido por el BrunoMCBraga 03.10.2015 - 13:15
fuente
0

La mayoría de los ataques ocurren en la red mientras el SMS está en tránsito. Una vez que llegue a su dispositivo, el hecho de que se muestre o se hable no cambiará nada siempre y cuando el dispositivo sea seguro y confiable, y siempre que el TTS ocurra en el dispositivo y no llame a ninguna API TTS en línea (y si el el dispositivo está comprometido, el uso de TTS o incluso los destellos del código Morse no cambiarán nada, el atacante puede obtener su código 2FA antes de que la pantalla se ilumine para mostrar la notificación).

Supongo que la posible vulnerabilidad sería que el TTS sucediera sin requerir que desbloquees el teléfono, por lo que un atacante que robó tu dispositivo no necesitará saber su contraseña para poder escuchar tus códigos 2FA.

    
respondido por el André Borie 03.09.2015 - 08:54
fuente

Lea otras preguntas en las etiquetas