덕분에 토미 마이스크 및 탈랄 하 바크리 of @mysk_co 이 기사의 추진력과 정보를 위해. 듀오는 자신을 "두 대륙의 두 iOS 개발자이자 가끔 보안 연구원"이라고 설명합니다. 즉, 사이버 보안이 그들의 핵심 사업은 아니지만 그들은 우리가 모든 프로그래머가 했으면 하는 일을 하고 있습니다. 다른 사람의 실수와 가정에 걸려 넘어지지 않도록.
위의 추천 이미지는 아래에서 전체 내용을 볼 수 있는 트윗 중 하나를 기반으로 합니다.
최근 트위터 발표 SMS 기반 이중 인증(2FA)이 더 이상 안전하지 않다고 생각합니다.
아이러니하게도 지난주에 설명했듯이 이러한 변화가 가장 중요하다고 생각하는 바로 그 사용자는 "최상위 계층" Twitter 사용자입니다. 더 긴 트윗 보내기…
…하지만 유료 플레이 사용자는 문자 메시지(SMS)를 사용하여 2FA 코드를 받을 수 있습니다.
나머지 직원들은 앞으로 2주 이내에(2023-03-17 금요일 이전) 다른 종류의 XNUMXFA 시스템으로 전환해야 합니다.
즉, 일회성 코드의 비밀 "시드" 시퀀스를 생성하는 앱을 사용하거나 신원 증명의 암호화 부분을 수행하는 Yubikey와 같은 하드웨어 토큰을 사용하는 것을 의미합니다.
하드웨어 키 또는 앱 기반 코드?
하드웨어 보안 키는 개당 약 100달러(지문 기반 생체 인식 보호 기능이 있는 장치에 대해 Yubikey의 대략적인 가격을 따름) 또는 터치로 활성화할 수 있는 보안 수준이 낮은 종류를 선택하려는 경우 50달러입니다. 누군가의 손가락.
따라서 우리는 하드웨어 보안 토큰에 이미 투자한 사람은 누구나 의도적으로 그렇게 했을 것이며 집에 멍하니 두기 위해 구입하지 않았을 것이라고 가정합니다.
따라서 이러한 사용자는 이미 SMS 기반 또는 앱 기반 2FA에서 전환한 것입니다.
그러나 다른 모든 사람들은 다음 세 가지 진영 중 하나에 속합니다.
- 2FA를 전혀 사용하지 않는 분들, 로그인할 때 불필요한 추가 번거로움을 고려하기 때문입니다.
- SMS 기반 2FA를 켜신 분들, 간단하고 사용하기 쉬우며 모든 휴대폰에서 작동하기 때문입니다.
- 앱 기반의 2FA로 가셨던 분들, 전화번호를 알려주는 것을 꺼렸거나 이미 문자 메시지 2FA에서 전환하기로 결정했기 때문입니다.
두 번째 진영에 있다면 2FA를 포기하고 트위터 계정에서 사라지게 두지 않고 대신 XNUMX자리 코드를 생성하는 앱으로 전환하기를 바랍니다.
그리고 당신이 첫 번째 진영에 있다면, 우리는 트위터의 변화에 대한 홍보와 토론(정말 보안상의 이유로 한 것인지 아니면 단순히 많은 SMS를 보내는 데 드는 비용을 절약하기 위한 것인지?)이 당신이 필요한 자극제가 되기를 바랍니다. 2FA를 직접 채택하십시오.
앱 기반 2FA는 어떻게 하나요?
iPhone을 사용하는 경우 iOS에 내장된 암호 관리자는 원하는 만큼 많은 웹사이트에 대해 2FA 코드를 생성할 수 있으므로 추가 소프트웨어를 설치할 필요가 없습니다.
Android에서 Google은 당연히라고 하는 자체 인증 앱을 제공합니다. 구글 인증 자, Google Play에서 다운로드할 수 있습니다.
Google의 애드온 앱은 Apple과 마찬가지로 필요한 일회성 로그인 코드 시퀀스를 생성하는 작업을 수행합니다. 설정 > 암호 iOS의 유틸리티.
그러나 우리는 적어도 일부 사람들, 아마도 많은 사람들이 완벽하게 합리적으로 자문했을 것이라고 가정할 것입니다. "애플(또는 구글) 바구니에 모든 사이버 보안 계란을 넣을 필요가 없도록 다른 인증 앱이 있습니까?"
평판이 좋은 많은 회사(Sophos 포함) iOS 및 Android) 운영 체제와 동일한 공급업체에서 제공되지 않는 2FA 앱을 사용하고 싶은 마음이 드는 경우 불필요한 비용이나 광고 없이 필요한 것을 정확히 수행하는 신뢰할 수 있는 무료 인증 유틸리티를 제공합니다.
실제로 다음을 검색하는 것만으로도 광범위하고 유혹적인 다양한 인증자를 찾을 수 있습니다. 인증 자 앱 Google Play 또는 App Store에서.
버릇없는 선택
문제는 애플과 구글의 공식 "벽으로 둘러싸인 정원"에 받아들여짐으로써 품질에 대한 보증을 받은 것으로 보이는 그러한 앱이 있을 법하지 않고 아마도 헤아릴 수도 없을 정도로 많다는 것입니다.
사실 Naked Security의 친구들은 @mysk_co 그들이 인증 앱을 직접 찾았고 그들이 발견한 것에 대해 놀라움과 충격 사이의 어딘가에 있다고 이메일을 보냈습니다.
@mysk_co의 공동 설립자인 Tommy Mysk는 다음과 같이 이메일에 간단명료하게 설명했습니다.
트위터가 2FA에 대한 SMS 방식을 중단한 후 여러 인증 앱을 분석했습니다. 우리는 거의 동일하게 보이는 많은 사기 앱을 보았습니다. 그들은 모두 사용자가 연간 $40에 연간 구독을 하도록 속입니다. 우리는 거의 동일한 바이너리를 가진 XNUMX개를 포착했습니다. 스캔한 모든 QR 코드를 개발자의 Google 애널리틱스 계정으로 전송하는 앱도 포착했습니다.
Tommy가 게시한 일련의 트윗에서 "에 대한 상위 검색 결과가 무엇인지 어떻게 알 수 있습니까?인증 자 앱” 사실 어떤 희생을 치르더라도 피해야 할 바로 그 사람일까요?
이 범주의 사칭 앱은 일반적으로 매년 $20에서 $40 사이의 비용을 지불하도록 유도하는 것으로 보입니다. 이는 수년 동안 지속되고 거의 확실하게 더 안전한 평판이 좋은 하드웨어 2FA 토큰을 구입하는 데 드는 비용과 비슷합니다. :
이러한 의심스러운 인증 앱 중 다수는 이 기술을 사용하여 사용자를 속입니다. 첫 실행 후 시작 마법사를 완료하면 인앱 구매 보기가 표시됩니다. 그리고 몇 초 후에 보기를 닫는 x 버튼이 나타납니다(오른쪽 상단 모서리).#앱 스토어 pic.twitter.com/sgxEo5ZwF0
— 미스크 🇨🇦🇩🇪 (@mysk_co) 2023년 2월 20일
예를 들어, 우리가 App Store에서 검색을 시도했을 때 우리의 가장 인기 있는 앱은 문맹자에 가까운 설명이 있는 앱이었습니다(우리는 이러한 수준의 비전문성이 적어도 일부 사람들을 즉시 실망시키기를 바라고 있습니다). 잘 알려진 중국 휴대폰 브랜드의 이름을 사용하는 회사.
앱의 명백한 품질 저하를 감안할 때(그럼에도 불구하고 App Store에 출시했지만 잊지 마세요) 우리는 전면적인 회사 이름 침해를 보고 있다는 생각이 가장 먼저 들었습니다.
우리는 사기꾼으로 추정되는 사람들이 사용할 권리가 없다고 생각한 이름으로 Apple 코드 서명 인증서를 획득할 수 있었다는 사실에 놀랐습니다.
우리는 회사 이름을 두 번 읽어야 했고, 한 글자가 닮은 문자로 바뀌었다는 사실을 깨달았고, 우리는 오래된 "타자 쪼그리고 앉기" 또는 변호사가 부르는 것을 다루고 있었습니다. 지나가 다 – 문자 그대로 일치하지는 않지만 한 눈에 오해를 불러일으킬 정도로 시각적으로 유사한 이름을 의도적으로 선택하는 행위.
Google Play에서 검색했을 때 가장 많이 검색된 앱은 @mysk_co가 이미 트윗을 통해 지출할 필요가 없는 돈을 요구할 뿐만 아니라 씨앗 or 시작 비밀 2FA에 대해 설정한 계정 중.
비밀 문자열을 기억하십시오 6QYW4P6KWALGCUWM
QR 코드 및 TOTP 번호 660680
나중에 다시 만날 것이기 때문에 아래 이미지에서 볼 수 있습니다.
씨앗이 비밀인 이유
설명하기.
대부분의 앱 기반 2FA 코드는 TOTP라는 암호화 프로토콜에 의존합니다. 시간 기반 일회용 암호, 에 지정된 RFC 6238.
아래 샘플 Lua 코드에서 볼 수 있듯이 알고리즘은 놀라울 정도로 간단합니다.
프로세스는 다음과 같이 작동합니다.
A. 원래 base32로 인코딩된 문자열(텍스트 또는 QR 코드를 통해)로 제공되었던 시드 또는 "시작 비밀"을 바이트 문자열로 변환합니다[라인 4].
B. 현재 "Unix epoch 시간"(초)을 소수 부분을 무시하고 30으로 나눕니다. Unix 시간은 1970-01-01T00:00:00Z [5] 이후의 초 수입니다.
C. 1970년에 시작된 사실상 64분 카운터인 이 숫자를 메모리 버퍼에 8비트(6바이트) 빅 엔디안 부호 없는 정수로 저장합니다[XNUMX].
D. base8로 디코딩된 시작 시드를 키 [1]로 사용하여 HMAC-SHA32의 한 반복을 사용하여 7바이트 버퍼를 해시합니다.
E. 160비트 HMAC-SHA1 다이제스트의 마지막 바이트(20의 20바이트)를 추출한 다음 하위 16비트(0으로 나눈 나머지)를 가져와 15에서 8 사이의 숫자 X를 얻습니다[XNUMX]. .
F. 해시에서 바이트 X+1,X+2,X+3,X+4를 추출합니다. 32..1) [4].
G. 32비트 빅 엔디안 부호 없는 정수로 변환하고 최상위 비트를 13으로 만듭니다. 그러면 나중에 부호 있는 것으로 처리되든 부호 없는 것으로 처리되든 상관없이 깨끗하게 작동합니다[XNUMX].
H. 해당 정수의 마지막 6자리 십진법을 취하고(백만으로 나눈 나머지 계산) TOTP 코드[17]를 얻기 위해 선행 XNUMX을 출력합니다.
즉, 모든 계정의 시작 씨앗 또는 위의 @mysk_co의 트윗에서 볼 수 있는 비밀은 문자 그대로 해당 계정에 필요한 모든 TOTP 코드를 생성하는 핵심입니다.
코드는 사용하기 위한 것이고 씨앗은 확보하기 위한 것입니다.
로그인할 때 이상하게 계산된 XNUMX자리 코드만 입력하고 시드를 직접 다시 사용하지 않는(또는 볼 필요조차 없는) 이유는 세 가지입니다.
- 코드를 생성하는 데 사용된 키까지 역방향으로 작업할 수 없습니다. 따라서 많은 수의 TOTP 코드를 가로채는 것은 과거 또는 미래의 로그온 코드를 리버스 엔지니어링하는 데 도움이 되지 않습니다.
- 현재 코드에서 순차적으로 다음 코드로 진행할 수 없습니다. 각 코드는 시드를 기반으로 독립적으로 계산되므로 오늘 코드를 가로채도 나중에 로그온하는 데 도움이 되지 않습니다. 따라서 코드는 일회용 암호 역할을 합니다.
- 웹 페이지나 암호 양식에 시드 자체를 입력할 필요가 없습니다. 따라서 최신 휴대 전화에서는 보안 저장 칩(때로는 고립시키다) 기기에서 잠금 상태이거나 꺼져 있을 때 휴대전화를 훔치는 공격자가 휴대전화를 추출할 수 없습니다.
간단히 말해, 생성된 코드는 코드에서 시드를 역방향으로 랭글링할 수 없기 때문에 일회용으로 안전합니다.
그러나 그 씨앗은 영원히 비밀로 유지되어야 합니다. 왜냐하면 어떤 암호도 1970년 초부터 우주의 열사(熱死)가 일어날 가능성이 있는 오랜 후까지(263 몇 초 후 또는 약 0.3조 년 후)는 씨앗에서 거의 즉시 생성될 수 있습니다.
물론 로그인하려는 서비스는 로그인하려는 시간과 일치하는 코드를 제공했는지 확인하기 위해 시드 사본이 필요합니다.
그래서 당신은 상대방의 서버를 신뢰하십시오. 서비스가 위반되는 경우에도(또는 특히) 종자를 안전하게 유지하기 위해 특별히 주의해야 합니다.
너는 또한 ~해야한다. 최종적으로 사용 중인 애플리케이션을 신뢰하십시오. 당신의 씨앗을 공개하지 마십시오.
그 의미는 해당 씨앗을 표시하지 않음 누구에게나(올바르게 코딩된 앱은 시드를 입력하거나 스캔한 후에도 시드를 표시하지 않습니다. 단순히 시드를 다시 볼 필요가 없기 때문입니다), 씨를 뿌리지 않는다 다른 앱으로, 그것들을 쓰지 않고 로그 파일, 백업에 추가 또는 디버그 출력에 포함…
... 그리고 아주 아주 확실히 네트워크를 통해 시드를 전송하지 마십시오..
사실, 당신의 씨앗을 세상 어디에나 있는 서버에 업로드하는 앱은 너무 무능해서 즉시 사용을 중단해야 하거나 사이버 범죄 악성코드로 취급해야 할 정도로 신뢰할 수 없습니다.
무엇을해야 하는가?
최근에 인증 앱을 움켜쥐었다면, 특히 트위터의 최근 발표로 급하게 했다면, 당신의 선택을 검토 당신이 지금 알고 있는 것에 비추어 볼 때.
구독료를 지불하도록 강요받은 경우 앱에 광고가 가득한 경우 앱에 실제보다 더 큰 마케팅과 빛나는 리뷰가 제공되지만 들어본 적이 없는 회사에서 온 경우; 아니면 단순히 다른 생각을 하고 있고 뭔가 옳지 않다고 느끼는 경우...
… IT 팀이 이미 승인했거나 알고 있고 신뢰할 수 있는 기술 담당자가 보증할 수 있는 주류 앱으로 전환하는 것을 고려하십시오.
위에서 언급했듯이 Apple에는 2FA 코드 생성기가 내장되어 있습니다. 설정 > 암호, Google은 자체 구글 인증 자 Play 스토어에서
가장 좋아하는 보안 공급업체에는 광고도 없고 재미도 없는 무료 코드 생성기 앱이 있을 것입니다. (소포스는 독립형 인증자 iOS용 무료 Sophos Intercept X for Mobile 앱의 인증자 구성 요소 iOS 및 Android.)
가지고 있는 앱이 확실하지 않아 인증 앱을 전환하기로 결정한 경우 다음을 확인하십시오. 모든 2FA 시드 재설정 당신이 그것에 맡긴 모든 계정에 대해.
(사실 이전 앱에 씨앗을 내보내 새 앱으로 읽을 수 있는 옵션이 있는 경우 이제 해당 기능을 사용하지 말아야 할 뿐만 아니라 앱을 전환하기로 한 결정이 잘한 일임을 알 수 있습니다. 하나!)
자신의 위험 정량화
다른 사람이 이미 알고 있거나 알아낼 수 있다고 생각하는 2FA 시드에 의해 보호된 계정을 떠나는 위험은 명백합니다.
앞에서 제시한 TOTP 알고리즘을 사용하고 [A] Tommy Mysk의 "비밀" 문자열을 입력하여 이를 스스로 증명할 수 있습니다. 짹짹 위와 [B] 그가 스크린샷을 찍은 시간은 7년 36월 2023일 중부 유럽 시간으로 UTC(줄루어 시간표시 Z
아래 타임스탬프에서).
도난당한 시드: 6QYW4P6KWALGCUWM Zulu 시간: 2023-02-25T18:36:00Z Unix 시대로 1,677,350,160초
예상할 수 있고 위 트윗의 이미지와 일치할 수 있으므로 코드는 다음과 같은 출력을 생성합니다.
$ luax totp-mysk.lua Tommy Mysk의 코드: 660680
유명한 비디오 게임 밈은 다음과 같이 말할 수 있습니다. 그의 모든 TOTP 코드는 우리에게 속합니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 출처: https://nakedsecurity.sophos.com/2023/02/27/beware-rogue-2fa-apps-in-app-store-and-google-play-dont-get-hacked/
- 1
- 2FA
- 7
- a
- 할 수 있는
- 소개
- 위의
- 절대
- 수락
- 계정
- 계정
- 얻다
- 행동
- 추가 기능
- 추가
- 채택
- 광고
- 후
- 앞으로
- 연산
- All
- 이미
- 이기는하지만
- 분석
- 및
- 기계적 인조 인간
- 강의자료
- 누군가
- 어딘가에
- 앱
- 앱 스토어
- 명백한
- Apple
- 어플리케이션
- 인가 된
- 앱
- 약
- 기사
- 인증
- 저자
- 자동
- 배경 이미지
- 백업
- 기반으로
- 바구니
- 때문에
- 전에
- 뒤에
- 이하
- 사이에
- 주의
- 생체 인식
- 비트
- 파란색
- 블루 배지
- 경계
- 바닥
- 구입
- 상표
- 버퍼
- 내장
- 내장
- 사업
- 단추
- 사기
- 계산하다
- 전화
- 라는
- 캠프
- 얻을 수 있습니다
- 한
- 범주
- 체포
- 센터
- 중심적인
- 확실히
- 증명서
- 이전 단계로 돌아가기
- 문자
- 중국말
- 칩
- 공동 설립자
- 암호
- 색
- 왔다
- 기업
- 회사
- 구성 요소
- 고려
- 변하게 하다
- 핵심
- 모서리
- 비용
- 비용
- 계수기
- 코스
- 엄호
- 만든
- cryptographic
- Current
- 사이버범죄
- 사이버 보안
- 취급
- 죽음
- 토론하다
- 결정된
- 결정
- 명확히
- 요구
- 설명
- 설명
- 개발자
- 장치
- DID
- 다른
- 요람
- 숫자
- 직접
- 알림닫기
- 디스플레이
- 표시
- 분할 된
- 하지 않습니다
- 하기
- 말라
- 마다
- 이전
- 효과적으로
- 달걀
- 중
- 이메일
- 충분히
- 입력 된
- 위탁
- 시대
- 특히
- 유럽
- 조차
- EVER
- 모든
- 사람
- 정확하게
- 예
- 기대
- 설명
- 설명
- 수출
- 광대 한
- 여분의
- 추출물
- 아이메이크업
- 폭포
- 유명한
- 특색
- 추천
- 특징
- 먹이
- 지우면 좋을거같음 . SM
- 를
- 그림
- 파일
- Find
- 손가락
- 지문
- 마무리
- 먼저,
- 수행원
- 영원히
- 형태
- 발견
- 분수
- 무료
- 금요일
- 친구
- 에
- 가득 찬
- 미래
- 일반적으로
- 생성
- 생성
- 생성
- 생성
- 발전기
- 얻을
- 주기
- 섬광
- Go
- 가는
- 좋은
- 구글
- Google Analytics
- 구글 플레이
- Google의
- 부여
- 손
- 하드웨어
- 하드웨어 보안
- 해시
- 데
- 들었다
- 신장
- 도움
- 히트
- 홈
- 희망
- 가져가
- 방법
- HTTPS
- 같은
- 통합 인증
- 영상
- 형상
- 바로
- 중대한
- 희한
- in
- 기타의
- 포함
- 포함한
- 독립하여
- 정보
- 위반
- 설치
- 를 받아야 하는 미국 여행자
- 투자
- 초대
- iOS
- iPhone
- IT
- 되풀이
- 그 자체
- 일
- 유지
- 유지
- 키
- 키
- 알아
- 알려진
- 넓은
- 성
- 시작
- 변호사
- 지도
- 휴가
- 출발
- 편지
- 레벨
- 생활
- 빛
- 아마도
- 라인
- 고정
- 긴
- 이상
- 찾고
- 만든
- 주류
- 악성 코드
- 매니저
- .
- 한계
- 마케팅
- 경기
- 최대 폭
- 방법
- 소개
- 뮘
- 메모리
- 말하는
- 메시지
- 방법
- 수도
- 백만
- 실수
- 모바일
- 모바일 앱
- 휴대 전화
- 현대
- 돈
- 배우기
- 가장
- 움직임
- 노출 된 보안
- name
- 가까운
- 필요
- 요구
- 그렇지만
- 신제품
- 새 앱
- 다음 것
- 표준
- 번호
- 숫자
- 분명한
- 가끔
- 제공
- 공무원
- 낡은
- ONE
- 운영
- 운영 체제
- 선택권
- 주문
- 원래
- 기타
- 자신의
- 부품
- 비밀번호
- 암호 관리자
- 암호
- 과거
- 폴
- 지불
- 지불하는
- 사람들
- 사람들의
- 혹시
- 전화
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 연극
- Play 스토어
- 가난한
- 위치
- 게시
- 게시물
- 제시
- 가격
- 인쇄
- 아마
- 문제
- 방법
- 프로그래머
- 보호
- 보호
- 프로토콜
- 증명
- 제공
- 제공
- 널리 알려짐
- 매수
- 목적
- 놓다
- QR 코드
- 품질
- 범위
- 도달
- 읽기
- 현실
- 실생활
- 이유
- 받다
- 최근
- 최근에
- 평판이 좋은
- 연구원
- REST
- 결과
- 공개
- 리뷰
- 위험
- 가장 안전한 따뜻함
- 같은
- 찜하기
- 사기
- 사기 앱
- 검색
- 수색
- 둘째
- 초
- 비밀
- 안전해야합니다.
- 보안
- 보안 토큰
- 씨
- 씨앗
- 것
- 전송
- 순서
- 연속
- 서버
- 서비스
- 세트
- 몇몇의
- 충격
- 짧은
- 영상을
- 표시
- 서명
- 상당한
- 로그인
- 비슷한
- 단순, 간단, 편리
- 간단히
- 이후
- 좌석
- SMS
- So
- 소프트웨어
- 고체
- 일부
- 어떤 사람
- 무언가
- 어딘가에
- 지정
- 지출
- 스타트
- 시작
- 시작 중
- 훔치다
- 훔친
- 중지
- 정지
- 저장
- 저장
- 신청
- 이러한
- 공급
- 가정
- 깜짝
- 의심 많은
- SVG
- 스위치
- 전환
- 체계
- 받아
- 복용
- 팀
- 테크니컬
- XNUMXD덴탈의
- 그들의
- 그들 자신
- 따라서
- 생각
- 세
- 시간
- 따라서 오른쪽 하단에
- 에
- 오늘
- 토큰
- 너무
- 상단
- 토피
- 터치
- 전이
- 투명한
- 치료
- 일조
- 참된
- 믿어
- 신뢰할 수있는
- 돌린
- 짹짹
- 트윗
- 두번
- 트위터
- 이해하기 쉬울 정도로
- 우주
- 유닉스
- URL
- us
- 사용
- 사용자
- 사용자
- 세계 협정시
- 유용
- 유틸리티
- 공급 업체
- 확인
- 를 통해
- 관측
- 경고
- 웹
- 웹 사이트
- 주
- 주
- 환영
- 잘 알려진
- 뭐
- 여부
- 어느
- 누구
- 폭
- 의지
- 기꺼이
- 이내
- 없이
- 말
- 작업
- 일
- 겠지
- 쓰기
- X
- year
- 년
- 자신의
- 너의
- 당신 자신
- 제퍼 넷
- 제로