V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
deadbeeeef
V2EX  ›  信息安全

人生中最昂贵的一节课:基于 SIM 卡转移的攻击细节

  •  
  •   deadbeeeef · 2019-05-22 10:21:32 +08:00 via iPhone · 3939 次点击
    这是一个创建于 2018 天前的主题,其中的信息可能已经有所发展或是发生改变。
    原文: https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124

    ------

    我个人觉得:

    1.不用短信验证码做为安全工具,不相信运营商(反正连 3GPP 都不在乎[1]你,他们只在乎钱,哈哈)
    2.不用在线的 2FA 和密码管理器,文件加密备份后再上传,这样除了你自己没人解得开
    3.必要时用 U2F 设备
    4.至少搞个相对可信的环境,别在上面几百年没更新过内核的破安卓或者越狱的烂苹果上搞什么和钱有关的

    你们觉得呢?



    [1] https://alter-attack.net/media/breaking_lte_on_layer_two.pdf
    10 条回复    2019-05-23 02:19:15 +08:00
    Kagari
        1
    Kagari  
       2019-05-22 10:32:33 +08:00
    这个不就是补卡攻击吗,我觉得锅要甩给那些 优先要求手机短信码登录,在绑定手机后不要求验证其他信息就能重置密码或者不能设密码 的 app
    deadbeeeef
        2
    deadbeeeef  
    OP
       2019-05-22 11:07:40 +08:00 via iPhone
    @Kagari 但是作者被社工了……所以验证密保问题什么的肯定也是行不通的,太弱了
    imnpc
        3
    imnpc  
       2019-05-22 11:35:31 +08:00
    U2F WebAuthn 未来所有手机都会支持 WebAuthn 除非本人 别人访问不了
    lingll
        4
    lingll  
       2019-05-22 11:36:25 +08:00
    无法访问此页面, 是挂了吗?
    R18
        5
    R18  
       2019-05-22 11:39:54 +08:00   ❤️ 1
    @lingll medium 要 FQ
    wangxiaoaer
        6
    wangxiaoaer  
       2019-05-22 16:13:15 +08:00
    这锅在运营商身上,在攻击者申请 SIM port 的环节没有验证身份。 另外,这个 SIM PORT request 是个什么东西? 补卡?携号转网?
    wangxiaoaer
        7
    wangxiaoaer  
       2019-05-22 16:15:22 +08:00
    @Kagari 按照文中的说法,对应用提供商来说,他判断不了用户换了手机吧,毕竟只是发送一个验证码。但是 他是可以判断用户使用的设备的,目前新设备的验证很多也是验证码,微信这种需要用旧设备扫码的好像还算是安全些。
    cydysm
        8
    cydysm  
       2019-05-22 16:25:12 +08:00
    danmu17
        9
    danmu17  
       2019-05-23 02:03:17 +08:00
    这类攻击的本质是所实施的安全级别和要保护的东西的价值的不对等性。
    2FA 也是有很明显的安全等级的,硬件 Token 就明显要好很多。
    但是这些都不是重点,重点是 coinbase 的风控能力太弱,
    如果 coinbase 的风控能力达到 Paypal 的程度的话,
    这次的攻击完全不会奏效。
    好奇国内有多少业内人士能达到上面的这个 view?
    danmu17
        10
    danmu17  
       2019-05-23 02:19:15 +08:00
    责任分析
    用户 0% 整个过程完全没有用户参与的机会。
    Gmail 0% 免费邮箱做到 Gmail 这种程度已经是突破天花板了,毕竟需要经常和国家资助的 h 客过招。
    AT&T 10% 有重大过失,但是他们的服务内容并不包含为用户或 coinbase 或 gmail 做 2FA 这件事情。
    Coinbase 90% 如果有 paypal 程度的风控能力的话,在用户重置密码 /使用非常用 IP 地址 /清空或者大额交易这三者同时发生的时候,就会自动触发高危风控,并暂停交易然后人工介入。同时对于大额资金调动也应该强制要求使用硬件 Token 一类的更安全级别的防护措施。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1250 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 23:59 · PVG 07:59 · LAX 15:59 · JFK 18:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.