Χάρη σε Tommy Mysk και Talal Haj Bakry of @mysk_co για την ώθηση και τις πληροφορίες πίσω από αυτό το άρθρο. Το δίδυμο περιγράφει τους εαυτούς τους ως «δύο προγραμματιστές iOS και περιστασιακούς ερευνητές ασφάλειας σε δύο ηπείρους». Με άλλα λόγια, παρόλο που η κυβερνοασφάλεια δεν είναι η βασική τους δραστηριότητα, κάνουν αυτό που θα θέλαμε όλοι οι προγραμματιστές: να μην θεωρούν δεδομένες τις λειτουργίες ασφάλειας εφαρμογών ή λειτουργικού συστήματος, αλλά να έχουν τα μάτια τους στο πώς λειτουργούν αυτές οι δυνατότητες στην πραγματική ζωή. προκειμένου να αποφύγετε να παραπατήσετε τα λάθη και τις υποθέσεις άλλων ανθρώπων.
Η παραπάνω εικόνα βασίζεται σε ένα από τα tweets τους, τα οποία μπορείτε να δείτε αναλυτικά παρακάτω.
Twitter πρόσφατα ανακοίνωσε ότι δεν πιστεύει ότι ο έλεγχος ταυτότητας δύο παραγόντων που βασίζεται σε SMS (2FA) είναι πλέον αρκετά ασφαλής.
Κατά ειρωνικό τρόπο, όπως εξηγήσαμε την περασμένη εβδομάδα, οι ίδιοι οι χρήστες για τους οποίους θα πιστεύατε ότι αυτή η αλλαγή θα ήταν πιο σημαντική είναι οι χρήστες του Twitter "ανώτερης βαθμίδας" - αυτοί που πληρώνουν για ένα σήμα Twitter Blue για να τους δώσουν μεγαλύτερη πρόσβαση και να τους επιτρέψουν να στείλτε μεγαλύτερα tweets…
…αλλά αυτοί οι χρήστες pay-to-play θα μπορούν να συνεχίσουν να χρησιμοποιούν μηνύματα κειμένου (SMS) για να λαμβάνουν τους κωδικούς 2FA τους.
Οι υπόλοιποι από εμάς πρέπει να μεταβούμε σε ένα διαφορετικό είδος συστήματος 2FA μέσα στις επόμενες τρεις εβδομάδες (πριν την Παρασκευή 2023-03-17).
Αυτό σημαίνει ότι χρησιμοποιείτε μια εφαρμογή που δημιουργεί μια μυστική ακολουθία κωδικών μίας χρήσης ή χρησιμοποιώντας ένα διακριτικό υλικού, όπως ένα Yubikey, που κάνει το κρυπτογραφικό μέρος της απόδειξης της ταυτότητάς σας.
Κλειδιά υλικού ή κωδικοί που βασίζονται σε εφαρμογές;
Τα κλειδιά ασφαλείας υλικού κοστίζουν περίπου 100 $ το καθένα (η κατά προσέγγιση τιμή του Yubikey για μια συσκευή με βιομετρική προστασία με βάση το δακτυλικό σας αποτύπωμα) ή 50 $ εάν είστε διατεθειμένοι να επιλέξετε τη λιγότερο ασφαλή ταξινόμηση που μπορεί να ενεργοποιηθεί με την αφή από το δάχτυλο κανενός.
Επομένως, είμαστε πρόθυμοι να υποθέσουμε ότι οποιοσδήποτε έχει ήδη επενδύσει σε ένα διακριτικό ασφαλείας υλικού θα το έχει κάνει επίτηδες και δεν θα το έχει αγοράσει για να το αφήσει να κάθεται αδρανές στο σπίτι.
Επομένως, αυτοί οι χρήστες θα έχουν ήδη απομακρυνθεί από το 2FA που βασίζεται σε SMS ή σε εφαρμογές.
Αλλά όλοι οι άλλοι, υποθέτουμε, πέφτουν σε ένα από τα τρία στρατόπεδα:
- Όσοι δεν χρησιμοποιούν καθόλου 2FA, γιατί το θεωρούν περιττή επιπλέον ταλαιπωρία κατά τη σύνδεση.
- Όσοι ενεργοποίησαν το 2FA που βασίζεται σε SMS, γιατί είναι απλό, εύκολο στη χρήση και λειτουργεί με οποιοδήποτε κινητό τηλέφωνο.
- Όσοι πήγαν για 2FA που βασίζεται σε εφαρμογές, επειδή ήταν απρόθυμοι να παραδώσουν τον αριθμό τηλεφώνου τους ή είχαν ήδη αποφασίσει να προχωρήσουν από το γραπτό μήνυμα 2FA.
Εάν βρίσκεστε στο δεύτερο στρατόπεδο, ελπίζουμε ότι δεν θα εγκαταλείψετε απλώς το 2FA και θα το αφήσετε να λήξει στον λογαριασμό σας στο Twitter, αλλά θα μεταβείτε σε μια εφαρμογή για να δημιουργήσετε αυτούς τους εξαψήφιους κωδικούς.
Και αν είστε στο πρώτο στρατόπεδο, ελπίζουμε ότι η δημοσιότητα και η συζήτηση γύρω από την αλλαγή του Twitter (έγινε πραγματικά για λόγους ασφαλείας ή απλώς για να εξοικονομήσετε χρήματα από την αποστολή τόσων SMS;) θα είναι η ώθηση που χρειάζεστε για να υιοθετήστε μόνοι σας το 2FA.
Πώς να κάνω 2FA που βασίζεται σε εφαρμογές;
Εάν χρησιμοποιείτε iPhone, ο ενσωματωμένος διαχειριστής κωδικών πρόσβασης στο iOS μπορεί να δημιουργήσει κωδικούς 2FA για εσάς, για όσους ιστότοπους θέλετε, επομένως δεν χρειάζεται να εγκαταστήσετε πρόσθετο λογισμικό.
Στο Android, η Google προσφέρει τη δική της εφαρμογή ελέγχου ταυτότητας, που δεν αποτελεί έκπληξη την ονομασία Επαληθευτής Google, που μπορείτε να λάβετε από το Google Play.
Η πρόσθετη εφαρμογή της Google κάνει τη δουλειά της δημιουργίας των απαραίτητων αλληλουχιών κωδικών σύνδεσης μίας χρήσης, ακριβώς όπως της Apple ρυθμίσεις > Κωδικοί πρόσβασης βοηθητικό πρόγραμμα στο iOS.
Αλλά θα υποθέσουμε ότι τουλάχιστον μερικοί άνθρωποι, και πιθανώς πολλοί, θα έχουν λογικά αναρωτηθεί: "Ποιες άλλες εφαρμογές ελέγχου ταυτότητας υπάρχουν εκεί έξω, επομένως δεν χρειάζεται να βάλω όλα τα αυγά μου στον κυβερνοχώρο στο καλάθι της Apple (ή της Google);
Πολλές αξιόπιστες εταιρείες (συμπεριλαμβανομένης της Sophos, παρεμπιπτόντως, και για τις δύο iOS και Android) παρέχετε δωρεάν, αξιόπιστα βοηθητικά προγράμματα ελέγχου ταυτότητας που θα κάνουν ακριβώς ό,τι χρειάζεστε, χωρίς περιττά στοιχεία, χρεώσεις ή διαφημίσεις, εάν κατανοείτε ότι θέλετε να χρησιμοποιήσετε μια εφαρμογή 2FA που δεν προέρχεται από τον ίδιο προμηθευτή με το λειτουργικό σας σύστημα.
Πράγματι, μπορείτε να βρείτε μια εκτεταμένη και δελεαστική σειρά ελεγκτών ταυτότητας απλώς αναζητώντας Εφαρμογή ελέγχου ταυτότητας στο Google Play ή στο App Store.
Χαλασμένος για επιλογή
Το πρόβλημα είναι ότι υπάρχει ένας απίθανος, ίσως ακόμη και ακαταμάχητος, αριθμός τέτοιων εφαρμογών, όλες προφανώς επικυρωμένες ως προς την ποιότητα από την αποδοχή τους στους επίσημους «περιτοιχισμένους κήπους» της Apple και της Google.
Μάλιστα, φίλοι της Γυμνής Ασφάλειας @mysk_co μόλις μας έστειλε email για να πει ότι είχαν ψάξει οι ίδιοι για εφαρμογές ελέγχου ταυτότητας και ήταν κάπου μεταξύ έκπληκτοι και σοκαρισμένοι με αυτό που βρήκαν.
Ο Tommy Mysk, συνιδρυτής του @mysk_co, το έθεσε ξεκάθαρα και απλά σε ένα email:
Αναλύσαμε αρκετές εφαρμογές ελέγχου ταυτότητας αφού το Twitter είχε σταματήσει τη μέθοδο SMS για το 2FA. Είδαμε πολλές εφαρμογές απάτης να μοιάζουν σχεδόν με το ίδιο. Όλοι εξαπατούν τους χρήστες να λάβουν μια ετήσια συνδρομή για 40 $/έτος. Πιάσαμε τέσσερα που έχουν σχεδόν ίδια δυαδικά. Πιάσαμε επίσης μια εφαρμογή που στέλνει κάθε σαρωμένο κωδικό QR στον λογαριασμό Google analytics του προγραμματιστή.
Καθώς ο Tommy σας προσκαλεί να αναρωτηθείτε, σε μια σειρά από tweets που έχει δημοσιεύσει, πώς υποτίθεται ότι ακόμη και ένας καλά ενημερωμένος χρήστης γνωρίζει ότι το κορυφαίο αποτέλεσμα αναζήτησής του για «Εφαρμογή ελέγχου ταυτότηταςΜπορεί στην πραγματικότητα να είναι αυτό που πρέπει να αποφευχθεί με κάθε κόστος;
Οι εφαρμογές απατεώνων αυτής της κατηγορίας, φαίνεται, γενικά προσπαθούν να σας κάνουν να τις πληρώνετε από 20 έως 40 $ κάθε χρόνο – περίπου όσο θα κόστιζε η αγορά ενός αξιόπιστου διακριτικού υλικού 2FA που θα διαρκούσε για χρόνια και είναι σχεδόν σίγουρα πιο ασφαλές :
Πολλές από αυτές τις ύποπτες εφαρμογές ελέγχου ταυτότητας χρησιμοποιούν αυτήν την τεχνική για να εξαπατήσουν τους χρήστες. Αφού ολοκληρώσετε τον οδηγό καλωσορίσματος μετά την πρώτη εκκίνηση, λαμβάνετε την προβολή αγοράς εντός εφαρμογής. Και το κουμπί x για την απόρριψη της προβολής εμφανίζεται μετά από λίγα δευτερόλεπτα (πάνω δεξιά γωνία)#App Store pic.twitter.com/sgxEo5ZwF0
— Mysk 🇨🇦🇩🇪 (@mysk_co) Φεβρουάριος 20, 2023
Όταν προσπαθήσαμε να κάνουμε αναζήτηση στο App Store, για παράδειγμα, η κορυφαία μας επιτυχία ήταν μια εφαρμογή με περιγραφή που συνόρευε με τους αναλφάβητους (ελπίζουμε ότι αυτό το επίπεδο αντιεπαγγελματισμού θα απομάκρυνε τουλάχιστον μερικούς ανθρώπους αμέσως), που δημιουργήθηκε από έναν εταιρεία που χρησιμοποιεί το όνομα γνωστής κινεζικής μάρκας κινητών τηλεφώνων.
Δεδομένης της φαινομενικής κακής ποιότητας της εφαρμογής (αν και είχε, ωστόσο, μπήκε στο App Store, μην ξεχνάτε), η πρώτη μας σκέψη ήταν ότι εξετάζαμε μια απροκάλυπτη παραβίαση του ονόματος της εταιρείας.
Ήμασταν έκπληκτοι που οι εικαζόμενοι απατεώνες κατάφεραν να αποκτήσουν ένα πιστοποιητικό υπογραφής κωδικού Apple σε ένα όνομα που δεν πιστεύαμε ότι είχαν το δικαίωμα να χρησιμοποιήσουν.
Χρειάστηκε να διαβάσουμε το όνομα της εταιρείας δύο φορές προτού καταλάβουμε ότι ένα γράμμα είχε αντικατασταθεί με έναν όμοιο χαρακτήρα και είχαμε να κάνουμε με το παλιό καλό "typosquatting" ή αυτό που θα μπορούσε να αποκαλέσει ένας δικηγόρος περνώντας μακριά – Επιλέγοντας σκόπιμα ένα όνομα που δεν ταιριάζει κυριολεκτικά αλλά είναι αρκετά παρόμοιο οπτικά ώστε να σας παραπλανήσει με μια ματιά.
Όταν ψάξαμε στο Google Play, η κορυφαία επιτυχία ήταν μια εφαρμογή για την οποία ο @mysk_co είχε ήδη αναρτήσει tweet, προειδοποιώντας ότι όχι μόνο απαιτεί χρήματα που δεν χρειάζεται να ξοδέψετε, αλλά και κλέβει το σπόροι or μυστικά εκκίνησης των λογαριασμών που δημιουργήσατε για το 2FA.
Θυμηθείτε τη μυστική χορδή 6QYW4P6KWALGCUWM
στον κωδικό QR και τους αριθμούς TOTP 660680
που μπορείτε να δείτε στις παρακάτω εικόνες, γιατί θα τους συναντήσουμε ξανά αργότερα:
Γιατί οι σπόροι είναι μυστικά
Για να εξηγήσει.
Οι περισσότεροι κωδικοί 2FA που βασίζονται σε εφαρμογές βασίζονται σε ένα κρυπτογραφικό πρωτόκολλο γνωστό ως TOTP, συντομογραφία κωδικός μιας χρήσης βάσει χρόνου, καθορίζεται στο RFC 6238.
Ο αλγόριθμος είναι εκπληκτικά απλός, όπως μπορείτε να δείτε από το δείγμα κώδικα Lua παρακάτω:
Η διαδικασία λειτουργεί ως εξής:
Α. Μετατρέψτε το seed, ή το "μυστικό έναρξης", που αρχικά σας δόθηκε ως συμβολοσειρά με κωδικοποίηση βάσης32 (ως κείμενο ή μέσω κωδικού QR), σε μια σειρά από byte [γραμμή 4].
Β. Διαιρέστε τον τρέχοντα "χρόνο εποχής Unix" σε δευτερόλεπτα με το 30, αγνοώντας το κλασματικό μέρος. Ο χρόνος Unix είναι ο αριθμός των δευτερολέπτων από το 1970-01-01T00:00:00Z [5].
Γ. Αποθηκεύστε αυτόν τον αριθμό, ο οποίος είναι ουσιαστικά ένας μετρητής μισού λεπτού που ξεκίνησε το 1970, σε ένα buffer μνήμης ως έναν ακέραιο ανυπόγραφο big-endian 64-bit (8-byte) [6].
Δ. Κατακερματίστε αυτό το buffer των 8 byte χρησιμοποιώντας μία επανάληψη του HMAC-SHA1 με τον αρχικό σπόρο που έχει αποκωδικοποιηθεί από τη βάση32 ως κλειδί [7].
Ε. Εξάγετε το τελευταίο byte της σύνοψης 160-bit HMAC-SHA1 (byte 20 από 20) και, στη συνέχεια, πάρτε τα τελευταία τέσσερα bit του (το υπόλοιπο διαιρούμενο με το 16) για να πάρετε έναν αριθμό X μεταξύ 0 και 15 [8] .
ΣΤ. Εξαγωγή των byte X+1,X+2,X+3,X+4 από τον κατακερματισμό, δηλαδή 32 bit που έχουν σχεδιαστεί οπουδήποτε από τα πρώτα τέσσερα byte (1..4) έως τα τελευταία τέσσερα byte ( 16..19) [13].
Ζ. Μετατρέψτε σε έναν ακέραιο ανυπόγραφο big-end 32-bit και μηδενίστε το πιο σημαντικό bit, ώστε να λειτουργεί καθαρά είτε αργότερα αντιμετωπίζεται ως υπογεγραμμένο είτε ως χωρίς υπογραφή [13].
Η. Πάρτε τα τελευταία 6 δεκαδικά ψηφία αυτού του ακέραιου αριθμού (υπολογίστε το υπόλοιπο όταν διαιρεθεί με ένα εκατομμύριο) και εκτυπώστε το με μηδενικά για να λάβετε τον κωδικό TOTP [17].
Με άλλα λόγια, η αρχική αρχή για οποιονδήποτε λογαριασμό, ή το μυστικό, όπως μπορείτε να δείτε με την ετικέτα στο tweet του @mysk_co παραπάνω, είναι κυριολεκτικά το κλειδί για την παραγωγή κάθε κωδικού TOTP που θα χρειαστείτε ποτέ για αυτόν τον λογαριασμό.
Οι κωδικοί είναι για χρήση, οι σπόροι είναι για ασφάλιση
Υπάρχουν τρεις λόγοι για τους οποίους πληκτρολογείτε μόνο αυτούς τους παράξενα υπολογισμένους εξαψήφιους κωδικούς όταν συνδέεστε και δεν χρησιμοποιείτε ποτέ (ή ακόμα και δεν χρειάζεται να δείτε) ξανά απευθείας τον σπόρο:
- Δεν μπορείτε να εργαστείτε προς τα πίσω από κανέναν από τους κωδικούς στο κλειδί που χρησιμοποιήθηκε για τη δημιουργία τους. Έτσι, η υποκλοπή κωδικών TOTP, ακόμη και σε μεγάλους αριθμούς, δεν σας βοηθά να αναστρέψεις τον δρόμο σας προς τυχόν κωδικούς σύνδεσης του παρελθόντος ή του μέλλοντος.
- Δεν μπορείτε να προχωρήσετε διαδοχικά από τον τρέχοντα κώδικα στον επόμενο. Κάθε κωδικός υπολογίζεται ανεξάρτητα, με βάση το seed, επομένως η υποκλοπή ενός κώδικα σήμερα δεν θα σας βοηθήσει να συνδεθείτε στο μέλλον. Οι κωδικοί επομένως λειτουργούν ως κωδικοί πρόσβασης μιας χρήσης.
- Δεν χρειάζεται ποτέ να πληκτρολογήσετε τον ίδιο τον σπόρο σε μια ιστοσελίδα ή μια φόρμα κωδικού πρόσβασης. Σε ένα σύγχρονο κινητό τηλέφωνο, μπορεί επομένως να αποθηκευτεί ακριβώς μία φορά στο τσιπ ασφαλούς αποθήκευσης (μερικές φορές ονομάζεται και θύλακα) στη συσκευή, όπου ένας εισβολέας που κλέβει το τηλέφωνό σας όταν είναι κλειδωμένο ή απενεργοποιημένο δεν μπορεί να το εξαγάγει.
Με απλά λόγια, ένας κώδικας που δημιουργείται είναι ασφαλής για εφάπαξ χρήση, επειδή ο σπόρος δεν μπορεί να τσακωθεί προς τα πίσω από τον κώδικα.
Αλλά ο σπόρος πρέπει να μείνει μυστικός για πάντα, γιατί οποιοσδήποτε κωδικός, από την αρχή του 1970 μέχρι πολύ καιρό μετά τον πιθανό θερμικό θάνατο του σύμπαντος (263 δευτερόλεπτα στο μέλλον, ή περίπου 0.3 τρισεκατομμύρια χρόνια), μπορεί να δημιουργηθεί σχεδόν αμέσως από τον σπόρο.
Φυσικά, η υπηρεσία στην οποία συνδέεστε χρειάζεται ένα αντίγραφο του σπόρου σας προκειμένου να επαληθευτεί ότι έχετε παράσχει έναν κωδικό που ταιριάζει με την ώρα που προσπαθείτε να συνδεθείτε.
Πρέπει λοιπόν εμπιστευτείτε τους διακομιστές στο άλλο άκρο να φροντίσετε να διατηρήσετε τους σπόρους σας ασφαλείς, ακόμη και (ή ίσως ιδιαίτερα) εάν παραβιαστεί η υπηρεσία.
Πρέπει επίσης να το κάνετε εμπιστευτείτε την εφαρμογή που χρησιμοποιείτε στο τέλος σας να μην αποκαλύπτεις ποτέ τους σπόρους σου.
Αυτό σημαίνει δεν εμφανίζει αυτούς τους σπόρους σε οποιονδήποτε (μια σωστά κωδικοποιημένη εφαρμογή δεν θα σας εμφανίσει καν το seed αφού το εισαγάγετε ή το σαρώσετε, επειδή απλά δεν χρειάζεται να το δείτε ξανά), δεν απελευθερώνει τους σπόρους σε οποιεσδήποτε άλλες εφαρμογές, να μην τα γράφεις για να καταγράψετε αρχεία, να τα προσθέσετε σε αντίγραφα ασφαλείας ή να τα συμπεριλάβετε στην έξοδο εντοπισμού σφαλμάτων…
…και πολύ, πολύ σίγουρα δεν μεταδίδετε ποτέ κανέναν από τους σπόρους σας μέσω του δικτύου.
Στην πραγματικότητα, μια εφαρμογή που ανεβάζει τους σπόρους σας σε έναν διακομιστή οπουδήποτε στο wirld είναι είτε τόσο ανίκανη που θα πρέπει να σταματήσετε να τη χρησιμοποιείτε αμέσως είτε τόσο αναξιόπιστη που θα πρέπει να την αντιμετωπίζετε ως κακόβουλο λογισμικό στον κυβερνοχώρο.
Τι να κάνω;
Εάν αποκτήσατε πρόσφατα μια εφαρμογή ελέγχου ταυτότητας, ειδικά αν το κάνατε βιαστικά ως αποτέλεσμα της πρόσφατης ανακοίνωσης του Twitter, ελέγξτε την επιλογή σας υπό το φως όσων τώρα γνωρίζετε.
Εάν αναγκαστήκατε να πληρώσετε μια συνδρομή για αυτό? εάν η εφαρμογή είναι γεμάτη διαφημίσεις. εάν η εφαρμογή συνοδεύεται από μάρκετινγκ και λαμπερές κριτικές, αλλά προέρχεται από μια εταιρεία που δεν έχετε ακούσει ποτέ. ή αν κάνετε απλώς δεύτερες σκέψεις και κάτι δεν πάει καλά με αυτό…
…εξετάστε το ενδεχόμενο να μεταβείτε σε μια κύρια εφαρμογή που έχει ήδη εγκρίνει η ομάδα IT σας ή την οποία μπορεί να εγγυηθεί κάποιος τεχνικός, τον οποίο γνωρίζετε και εμπιστεύεστε.
Όπως αναφέρθηκε παραπάνω, η Apple διαθέτει μια ενσωματωμένη γεννήτρια κωδικών 2FA ρυθμίσεις > Κωδικοί πρόσβασης, και η Google έχει τη δική της Επαληθευτής Google εφαρμογή στο Play Store.
Ο αγαπημένος σας προμηθευτής ασφαλείας έχει πιθανώς μια δωρεάν εφαρμογή δημιουργίας κώδικα χωρίς διαφημίσεις, χωρίς διέγερση, την οποία μπορείτε να χρησιμοποιήσετε και εσείς. (Ο Σοφός έχει α αυτόνομος έλεγχος ταυτότητας για iOS και ένα στοιχείο ελέγχου ταυτότητας στη δωρεάν εφαρμογή Sophos Intercept X for Mobile και στα δύο iOS και Android.)
Εάν αποφασίσετε να αλλάξετε εφαρμογή ελέγχου ταυτότητας επειδή δεν είστε σίγουροι για αυτήν που έχετε, φροντίστε να επαναφέρετε όλους τους σπόρους 2FA για όλους τους λογαριασμούς που του έχετε εμπιστευτεί.
(Στην πραγματικότητα, εάν η παλιά εφαρμογή έχει την επιλογή να εξάγει τους σπόρους σας, ώστε να μπορείτε να τους διαβάσετε σε μια νέα εφαρμογή, τώρα γνωρίζετε όχι μόνο ότι δεν πρέπει να χρησιμοποιήσετε αυτήν τη δυνατότητα, αλλά και ότι η απόφασή σας να αλλάξετε εφαρμογές ήταν καλή ένας!)
ΠΟΣΟΤΙΚΟΙ ΤΟΝ ΚΙΝΔΥΝΟ ΓΙΑ ΤΟΝ ΕΑΥΤΟ ΣΑΣ
Ο κίνδυνος να αφήσετε τον λογαριασμό σας προστατευμένο από ένα 2FA seed που πιστεύετε ότι κάποιος άλλος μπορεί ήδη να γνωρίζει (ή να μπορεί να καταλάβει) είναι προφανής.
Μπορείτε να το αποδείξετε αυτό στον εαυτό σας χρησιμοποιώντας τον αλγόριθμο TOTP που παρουσιάσαμε νωρίτερα και τροφοδοτώντας στο [A] τη «μυστική» συμβολοσειρά από τον Tommy Mysk. τιτίβισμα παραπάνω και [B] την ώρα που τράβηξε το στιγμιότυπο οθόνης, που ήταν 7:36 μ.μ. ώρα Κεντρικής Ευρώπης στις 2023-02-25, μία ώρα πριν από το UTC (Χρόνος Zulu, συμβολίζεται Z
στην παρακάτω χρονική σήμανση).
Ο κλεμμένος σπόρος είναι: 6QYW4P6KWALGCUWM Η ώρα των Ζουλού ήταν: 2023-02-25T18:36:00Z που είναι: 1,677,350,160 δευτερόλεπτα στην εποχή του Unix
Όπως μπορείτε να περιμένετε, και όπως μπορείτε να ταιριάξετε με τις εικόνες στο παραπάνω tweet, ο κώδικας παράγει την ακόλουθη έξοδο:
$ luax totp-mysk.lua Ο κωδικός του Tommy Mysk ήταν: 660680
Όπως θα μπορούσε να το θέσει το διάσημο μιμίδιο βιντεοπαιχνιδιών: Όλοι οι κωδικοί του TOTP ανήκουν σε εμάς.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://nakedsecurity.sophos.com/2023/02/27/beware-rogue-2fa-apps-in-app-store-and-google-play-dont-get-hacked/
- 1
- 2FA
- 7
- a
- Ικανός
- Σχετικα
- πάνω από
- Απόλυτος
- αποδοχή
- Λογαριασμός
- Λογαριασμοί
- αποκτούν
- Πράξη
- Πρόσθετο
- Πρόσθετος
- ενστερνίζομαι
- διαφημίσεις
- Μετά το
- εμπρός
- αλγόριθμος
- Όλα
- ήδη
- Αν και
- analytics
- και
- android
- Ανακοίνωσεις
- κάποιος
- οπουδήποτε
- app
- app κατάστημα
- εμφανής
- Apple
- Εφαρμογή
- εγκεκριμένη
- εφαρμογές
- γύρω
- άρθρο
- Πιστοποίηση
- συγγραφέας
- αυτόματη
- background-image
- αντιγράφων ασφαλείας
- βασίζονται
- καλάθι
- επειδή
- πριν
- πίσω
- παρακάτω
- μεταξύ
- Προσέξτε
- βιομετρική
- Κομμάτι
- Μπλε
- μπλε σήμα
- σύνορο
- Κάτω μέρος
- αγόρασε
- μάρκα
- ρυθμιστικό
- χτισμένο
- ενσωματωμένο
- επιχείρηση
- κουμπί
- αγορά
- υπολογίσει
- κλήση
- που ονομάζεται
- Στρατόπεδο
- Μπορεί να πάρει
- ο οποίος
- κατηγορία
- αλιεύονται
- Κέντρο
- κεντρικός
- σίγουρα
- πιστοποιητικό
- αλλαγή
- χαρακτήρας
- κινέζικο
- τσιπ
- Συνιδρυτής
- κωδικός
- χρώμα
- Ελάτε
- Εταιρείες
- εταίρα
- συστατικό
- Εξετάστε
- μετατρέψετε
- πυρήνας
- Γωνία
- Κόστος
- Δικαστικά έξοδα
- μετρητής
- Πορεία
- κάλυμμα
- δημιουργήθηκε
- κρυπτογραφικό
- Ρεύμα
- ΚΥΒΕΡΝΟΕΓΚΛΗΜΑΤΙΚΟΣ
- Κυβερνασφάλεια
- μοιρασιά
- Θάνατος
- δημόσια συζήτηση
- αποφάσισε
- απόφαση
- οπωσδηποτε
- απαιτήσεις
- περιγράφουν
- περιγραφή
- προγραμματιστές
- συσκευή
- DID
- διαφορετικές
- Σύνοψη
- ψηφία
- κατευθείαν
- να απορρίψει
- Display
- εμφάνιση
- διαιρούμενο
- Όχι
- πράξη
- Μην
- κάθε
- Νωρίτερα
- αποτελεσματικά
- Αυγά
- είτε
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- αρκετά
- εισήχθη
- ανατέθηκε
- εποχή
- ειδικά
- ευρωπαϊκός
- Even
- ΠΑΝΤΑ
- Κάθε
- όλοι
- ακριβώς
- παράδειγμα
- αναμένω
- Εξηγήστε
- εξήγησε
- εξαγωγή
- εκτενής
- επιπλέον
- εκχύλισμα
- μάτια
- Falls
- πασίγνωστη και
- Χαρακτηριστικό
- Προτεινόμενο
- Χαρακτηριστικά
- σίτιση
- Τελη Εγγραφης
- λίγοι
- Εικόνα
- Αρχεία
- Εύρεση
- δάχτυλο
- δακτυλικό αποτύπωμα
- φινίρισμα
- Όνομα
- Εξής
- για πάντα
- μορφή
- Βρέθηκαν
- κλασματικός
- Δωρεάν
- Παρασκευή
- φίλους
- από
- πλήρη
- μελλοντικός
- γενικά
- παράγουν
- παράγεται
- δημιουργεί
- παραγωγής
- γεννήτρια
- παίρνω
- Δώστε
- Ματιά
- Go
- μετάβαση
- καλός
- Google Analytics
- Το Google Play
- Της Google
- χορηγείται
- χέρι
- υλικού
- Ασφάλεια υλικού
- χασίσι
- που έχει
- ακούσει
- ύψος
- βοήθεια
- Επιτυχία
- Αρχική
- ελπίζοντας
- φτερουγίζω
- Πως
- HTTPS
- identiques
- Ταυτότητα
- εικόνα
- εικόνες
- αμέσως
- σημαντικό
- Απίθανος
- in
- Σε άλλες
- Συμπεριλαμβανομένου
- Περιεκτικός
- ανεξάρτητα
- πληροφορίες
- παράβαση
- εγκαθιστώ
- αντί
- επενδύσει
- προσκαλεί
- iOS
- iPhone
- IT
- επανάληψη
- εαυτό
- Δουλειά
- Διατήρηση
- τήρηση
- Κλειδί
- πλήκτρα
- Ξέρω
- γνωστός
- large
- Επίθετο
- ξεκινήσει
- δικηγόρος
- που οδηγεί
- Άδεια
- αφήνοντας
- επιστολή
- Επίπεδο
- ζωή
- φως
- Πιθανός
- γραμμή
- κλειδωμένη
- Μακριά
- πλέον
- κοιτάζοντας
- που
- Mainstream
- malware
- διευθυντής
- πολοί
- Περιθώριο
- Μάρκετινγκ
- Ταίριασμα
- max-width
- μέσα
- Γνωρίστε
- μιμίδιο
- Μνήμη
- που αναφέρθηκαν
- μηνύματα
- μέθοδος
- ενδέχεται να
- εκατομμύριο
- λάθη
- Κινητό
- εφαρμογή για κινητά
- κινητό τηλέφωνο
- ΜΟΝΤΕΡΝΑ
- χρήματα
- περισσότερο
- πλέον
- μετακινήσετε
- Γυμνή ασφάλεια
- όνομα
- Κοντά
- Ανάγκη
- ανάγκες
- παρ 'όλα αυτά
- Νέα
- νέα εφαρμογή
- επόμενη
- κανονικός
- αριθμός
- αριθμοί
- Εμφανή
- τυχαίος
- προσφορές
- επίσημος ανώτερος υπάλληλος
- Παλιά
- ONE
- λειτουργίας
- το λειτουργικό σύστημα
- Επιλογή
- τάξη
- αρχικά
- ΑΛΛΑ
- δική
- μέρος
- Κωδικός Πρόσβασης
- Διευθυντής κωδικού πρόσβασης
- Κωδικοί πρόσβασης
- Το παρελθόν
- Παύλος
- Πληρωμή
- πληρώνουν
- People
- των ανθρώπων
- ίσως
- τηλέφωνο
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Δοκιμάστε να παίξετε
- Play Store
- φτωχός
- θέση
- δημοσιεύτηκε
- Δημοσιεύσεις
- παρουσιάζονται
- τιμή
- πιθανώς
- Πρόβλημα
- διαδικασια μας
- Προγραμματιστές
- προστατεύονται
- προστασία
- πρωτόκολλο
- Αποδείξτε
- παρέχουν
- παρέχεται
- δημοσιότητα
- αγορά
- σκοπός
- βάζω
- QR code
- ποιότητα
- σειρά
- φθάσουν
- Διάβασε
- πραγματικός
- πραγματική ζωή
- λόγους
- λαμβάνω
- πρόσφατος
- πρόσφατα
- ευυπόληπτος
- ερευνητές
- ΠΕΡΙΦΕΡΕΙΑ
- αποτέλεσμα
- αποκαλύπτω
- Κριτικές
- Κίνδυνος
- ένα ασφαλές
- ίδιο
- Αποθήκευση
- Απάτη
- εφαρμογές απάτης
- Αναζήτηση
- αναζήτηση
- Δεύτερος
- δευτερόλεπτα
- Μυστικό
- προστατευμένο περιβάλλον
- ασφάλεια
- σημείωμα ασφαλείας
- σπόρος
- σπόροι
- φαίνεται
- αποστολή
- Ακολουθία
- Σειρές
- Διακομιστές
- υπηρεσία
- σειρά
- διάφοροι
- συγκλόνισε
- Κοντά
- θα πρέπει να
- δείχνουν
- υπογραφεί
- σημαντικός
- υπογραφή
- παρόμοιες
- Απλούς
- απλά
- αφού
- Συνεδρίαση
- SMS
- So
- λογισμικό
- στέρεο
- μερικοί
- Κάποιος
- κάτι
- κάπου
- καθορίζεται
- δαπανήσει
- Εκκίνηση
- ξεκίνησε
- Ξεκινήστε
- κλέβει
- κλαπεί
- στάση
- σταμάτησε
- χώρος στο δίσκο
- κατάστημα
- συνδρομή
- τέτοιος
- παρέχεται
- υποτιθεμένος
- έκπληκτος
- ύποπτος
- SVG
- διακόπτης
- ενεργοποιημένη
- σύστημα
- Πάρτε
- λήψη
- Τεχνικός
- Η
- τους
- τους
- επομένως
- σκέψη
- τρία
- ώρα
- timestamp
- προς την
- σήμερα
- ένδειξη
- πολύ
- κορυφή
- ΣΥΝΟΛΟ
- αφή
- μετάβαση
- διαφανής
- θεραπεία
- Τρισεκατομμύριο
- αληθής
- Εμπιστευθείτε
- αξιόπιστος
- Γύρισε
- τιτίβισμα
- tweets
- Δυο φορές
- Τουίτερ
- Καταληπτώς
- Σύμπαν
- unix
- URL
- us
- χρήση
- Χρήστες
- Χρήστες
- UTC
- επιχειρήσεις κοινής ωφέλειας
- χρησιμότητα
- πάροχος υπηρεσιών
- επαληθεύει
- μέσω
- Δες
- προειδοποίηση
- ιστός
- ιστοσελίδες
- εβδομάδα
- Εβδ.
- καλωσόρισμα
- πολύ γνωστό
- Τι
- αν
- Ποιό
- Ο ΟΠΟΊΟΣ
- πλάτος
- θα
- πρόθυμος
- εντός
- χωρίς
- λόγια
- Εργασία
- λειτουργεί
- θα
- γραφή
- X
- έτος
- χρόνια
- Εσείς
- Σας
- τον εαυτό σας
- zephyrnet
- μηδέν