Smartphone 2FA se ha roto?

De todos modos, confiar en el dispositivo móvil como segundo factor es algo caótico: hay un número creciente de personas que confían en los dispositivos móviles como dispositivos principales de acceso a Internet (especialmente en países con infraestructura limitada), por lo que una aplicación en un teléfono, un SMS o un correo electrónico puede terminar en el mismo dispositivo que usa el atacante. Esto ya causa problemas: intente realizar un pago con la aplicación móvil de Paypal si tiene 2FA habilitado, y no lo permitirá, ya que intenta protegerse contra este tipo de ataque. Sin embargo, no parecen tener una buena solución.

Existen estrategias de mitigación obvias para el ataque en el documento al que se hace referencia: los teléfonos podrían restringir la instalación de los navegadores (por ejemplo, requieren que se ingrese un código en el navegador con la mano, o deshabilitar la función de forma predeterminada, de manera similar). para los métodos de emparejamiento de Bluetooth, por lo que el usuario del teléfono debe estar buscando activamente los intentos de instalación para que funcionen), las tiendas de aplicaciones podrían ser más proactivas en la detección de las funciones de lectura de SMS, o las páginas de recepción 2FA podrían solicitar detalles de verificación adicionales (por ejemplo, requiere que se ingrese la contraseña del sitio, lo que agregaría obstáculos a los ataques de robo de sesión, o solicitaría caracteres específicos del código enviado, haciendo que la interacción humana sea más fácil que la entrada automática).

Sin embargo, para la mayoría de las cuentas, probablemente sea un riesgo bajo. Si usa una contraseña segura para su cuenta de la tienda de aplicaciones, debería ser difícil para un atacante activar dicha carga en segundo plano, y siempre debe prestar atención a las nuevas aplicaciones que se instalan en su dispositivo. Siempre hay aplicaciones que se deslizan a través de cualquier sistema de monitoreo, por lo que el problema parece ser la confianza ciega depositada por el teléfono en el proceso de instalación automatizada de la tienda de aplicaciones, un caso de usabilidad con una desventaja de seguridad.

  

Esta investigación indica que la autenticación de dos factores ha sido interrumpida por la posibilidad de instalar una aplicación de forma remota en un dispositivo.

2FA se basa en la idea de que el dispositivo es, en realidad, completamente propiedad del usuario. Si se instalan aplicaciones controladas por el atacante que pueden interceptar SMS, etc., el dispositivo ya no es propiedad del usuario, ya que el atacante controla una parte importante del mismo.

Esto no rompe 2FA por sí mismo, pero rompe el 2FA barato implementado en dispositivos inseguros. Esto no es realmente una sorpresa.

2FA apropiado en dispositivos con funcionalidad reducida aún funciona. Esto incluye software de generación de OTP en un teléfono inteligente restringido (es decir, no hay otras aplicaciones instaladas, no hay conexión a Internet o móvil ...). También los tokens de hardware resistentes a la manipulación, como las tarjetas inteligentes o los tokens OTP, siguen funcionando. Todos estos son más seguros pero también más costosos en comparación con la implementación de 2FA en un teléfono inteligente de propósito general. costoso.