Domanda:
Rivelare il numero di telefono durante il processo di verifica OTP è considerato una vulnerabilità?
MyUserName
2020-07-14 21:45:29 UTC
view on stackexchange narkive permalink

Uno dei modi più comuni per implementare 2FA è utilizzare il numero di telefono SMS o Chiama con OTP. Come posso vedere, di solito i servizi web mostrano qualcosa del tipo: 

  OTP è stato inviato al numero + ********* 34

È fatto perché rivelare il numero è considerato una vulnerabilità?

Se sì, allora quale ed è descritto da qualche parte?

Immagino abbia qualcosa a che fare con il non voler mostrare troppe informazioni sull'utente. Queste informazioni potrebbero essere utilizzate per l'ingegneria sociale, ma forse c'è qualcos'altro?

Anche avere un link a un luogo attendibile con la descrizione sarebbe fantastico.

In caso di possibile attacco a un numero di telefono, la rivelazione di un numero di telefono offuscato non ne sarà vittima.Ti dà abbastanza informazioni per dire "Ma il mio numero finisce con" 87 ", qualcosa non va!", E passare al tuo comportamento 2FA / WTF.
"Quindi mi stai dicendo che tutto quello che devo fare per scoprire il numero di telefono privato di qualcuno è provare ad accedere con il suo indirizzo email?"
@user253751 dovresti comunque usare la password per ottenere il numero di telefono se stiamo parlando di 2FA
@valsaysReinstateMonica Non è questo il punto di 2FA però?Un metodo secondario di autorizzazione nel caso in cui la password venga indovinata, trapelata o altrimenti scoperta?Domanda onesta, forse mi sbaglio.
@Steve-O sì, hai ragione.Ho appena sottolineato che l'e-mail da sola non sarebbe sufficiente per ottenere il numero di telefono in questa situazione /
"Se sì, allora quale, è descritto da qualche parte?"è un po 'come dire, nonostante le regole di SE, speri che gli altri facciano la maggior parte del tuo lavoro. L'idea è che prima chiedi ai tuoi libri di riferimento o ai motori di ricerca "quale", poi vieni qui per chiarimenti su ciò che non ha senso ...
Sei risposte:
gowenfawr
2020-07-14 22:29:54 UTC
view on stackexchange narkive permalink

Il metodo di attacco principale contro l'OTP tramite messaggio di testo è " scambio sim" e assumere il numero di telefono del bersaglio. Se il sito fornisse il numero completo in questo scenario, fornirebbe all'autore dell'attacco esattamente le informazioni di cui ha bisogno per violare la sicurezza utilizzata.

(Per sollevare commenti: in generale, altro sono necessarie informazioni personali, se intendi fare in modo che il personale addetto alle telecomunicazioni dell'ingegnere sociale sostituisca la SIM. In alcuni luoghi e con alcuni gestori, è ancora più difficile, poiché è necessario presentare l'ID di persona. Ma ci sono anche casi in cui è richiesto nient'altro che il numero di telefono, anche con protezioni avanzate, se il personale delle telecomunicazioni è in collusione con gli aggressori.

Beh, non * esattamente * le informazioni di cui avrebbero bisogno.Non puoi scambiare la SIM solo con il numero di telefono, altrimenti verremmo tutti affondati.L'aggressore ha bisogno di un sacco di informazioni personali e di qualsiasi altra informazione di verifica richiesta dall'operatore di telefonia mobile.
@schroeder nota anche che lo scambio di sim funziona solo in alcuni paesi.quaggiù nell'Europa orientale l'unico modo per trasferire il tuo numero su una nuova SIM è andare dal tuo operatore e presentare il tuo ID.a meno che tu non abbia acquistato una SIM anonima (cioè prepagata senza contratto), nel qual caso, non sono sicuro che tu possa trasferire il tuo numero su un'altra SIM.
@Gnudiff Non ho avuto bisogno di mostrare il mio ID le ultime 2 volte che ho trasferito il mio numero su una nuova SIM (Paesi Bassi).Non so se ne ho mai avuto bisogno prima di allora.Apparentemente, le differenze regionali possono influire sulla sicurezza qui.
@Mast gnudiff ha detto che la differenza varia in base al paese
@schroeder E sono d'accordo fornendo un esempio.Ora entrambi i casi sono coperti.
@schroeder Vorrei che fosse vero.I miei colleghi hanno dimostrato che questo è falso (almeno per i piani prepagati negli Stati Uniti) il sito web: https://www.issms2fasecure.com/.TL; DR sono presenti informazioni di autenticazione che non sono personali / che possono essere contraffatte, come le chiamate recenti e la cronologia dei pagamenti
@RyanAmos Non sono sicuro che tu abbia contraddetto la mia affermazione.Hai bisogno di qualcosa di più del semplice numero.Hai bisogno di "altre informazioni di verifica".
@schroeder Forse non ero sufficientemente chiaro.Il punto è che le altre informazioni di verifica possono essere ottenute senza dover effettivamente raccogliere informazioni personali.Ad esempio, i registri delle chiamate possono essere falsificati chiamando la vittima o inducendola a chiamare un numero di tua proprietà.I record di pagamento possono essere falsificati effettuando un pagamento per conto della vittima (in genere non richiede l'autenticazione).Quindi con solo un numero di telefono e * nessun'altra informazione * potresti effettivamente essere in grado di eseguire un attacco di scambio sim.
schroeder
2020-07-14 22:04:11 UTC
view on stackexchange narkive permalink

Non si tratta di una "vulnerabilità". Si tratta di informazioni di identificazione personale (PII). È lo stesso motivo per cui i numeri delle carte di credito non vengono visualizzati per intero sui siti.

Chiunque passi vicino al tuo schermo, registrando telecamere, ecc. Vedrebbe le informazioni. E non è necessario mostrare il numero intero. È solo un promemoria per l'utente.

Consideravo di aggiungere come risposta, ma questo più o meno dice già quello che voglio dire.La visualizzazione del numero di telefono non supera neanche il test "questa funzione mi protegge dal mio stalker / ex abusivo".A meno che non ci siano altre opzioni, le informazioni personali dovrebbero essere sempre mascherate.
Jeff Ferland
2020-07-14 23:17:37 UTC
view on stackexchange narkive permalink

Se fosse elencato il numero completo, potrei visitare il tuo account, richiedere una nuova password e conoscere il tuo numero di telefono. Le ultime due cifre sono un compromesso che ti consente di conoscere il suo (probabile) numero senza rivelare il tuo numero di telefono a chiunque desideri visualizzarlo sul sito web.

Non mostra il numero di telefono (offuscato) solo dopo aver inserito la password corretta?In altre parole, potevo ottenere il numero di telefono dell'OP solo se avevo già la password dell'OP?
@gerrit sì, il numero di telefono qui viene mostrato solo nel caso in cui l'utente abbia inserito login e password corretti.Ma da come vedo ha ancora senso nasconderlo.
Può anche ricordarti _ quale_ dei tuoi numeri hai utilizzato al momento della registrazione (utile se qualcuno potrebbe aver utilizzato il proprio numero di casa o di lavoro, ad esempio).
Vasilis Konstantinou
2020-07-15 02:31:09 UTC
view on stackexchange narkive permalink

Ebbene, la cosa su cui siamo tutti d'accordo è che mostrando il numero di telefono completo, l'applicazione perde informazioni sensibili sull'utente. Non so quale regolamento si applichi al tuo paese, tuttavia, in base al GDPR, i numeri di telefono del regolamento europeo sono considerati informazioni personali e in quanto tali devono essere gestiti in modo appropriato. Ciò significa che se il numero di telefono viene rivelato a un altro utente, l'applicazione / sito Web non è conforme a GDPR. Anche in questo caso non so quali normative si applichino nel tuo caso specifico, ma penso sia utile averlo in mente quando sviluppi la tua applicazione.

Ora consideriamo lo scenario in cui l'utente malintenzionato TRUDY è in qualche modo atterrato la schermata OTP e viene visualizzato un messaggio Un Otp è stato inviato a +30 0000000001 cosa può fare TRUDY con quello? Posso pensare a 4 scenari

  1. scambio sim Come descritto da gowenfawr. Ciò potrebbe avere una leva di successo diversa a seconda del processo di scambio sim implementato da ciascun operatore.
  2. Ingegneria sociale . Invio di messaggi come azienda come Tua_azienda.com Fare clic sul collegamento per inserire otp / password e altri messaggi di phishing.
  3. OSINT . I numeri di telefono sono abbastanza univoci da aiutare un utente malintenzionato a eseguire un'indagine open source sull'utente nei social media e su altre piattaforme che potrebbero essere utilizzate nelle e-mail di spear phishing o per rispondere a domande di sicurezza come Da quale paese / stato vieni codice>. Ovviamente questo non è lo scenario più probabile e richiede a TRUDY di investire tempo in modo specifico per questo utente.

Per concludere fintanto che TRUDY non può utilizzare il numero di telefono per ottenere ulteriore accesso nel tuo sistema Direi che non si tratta di una vulnerabilità.

Volevi dire ** OSINT ** di OSNIT?
Sì, grazie per averlo fatto notare.Lo cambierò.
Gherman
2020-07-17 21:27:14 UTC
view on stackexchange narkive permalink

Tieni presente che la sicurezza di un numero di telefono può essere diversa a seconda degli operatori di telefonia mobile. Non sai quanto seriamente qualche altra organizzazione non correlata alla tua organizzazione prenda la sicurezza. Questo è particolarmente vero se i tuoi clienti sono residenti in paesi lontani e sai molto poco su come lavorano gli operatori lì. Nel mio paese è possibile venire in un centro di operatori di telefonia mobile e convincere la gente a darti semplicemente la carta SIM del numero di telefono desiderato. Tutto quello che devi dare loro sono copie false del passaporto e potrebbero non preoccuparsi di controllarle. Quindi non c'è bisogno di alcune fantasiose vulnerabilità 0-day e abilità di hacking, basta parlare con alcune persone non correlate. Questo è successo spesso in passato ed è un enorme problema di sicurezza. Alcune persone hanno perso l'accesso ai loro siti o nomi di dominio a causa di ciò e hanno perso enormi quantità di reddito. Gli hacker hanno utilizzato l'autenticazione a fattore singolo basata sul numero di telefono per ottenere l'accesso ai loro account e rubarli.

Vorrei fornire collegamenti ad esempi ma sono in una lingua diversa e non voglio essere accusato di diffamazione.

Per farla breve: la protezione del numero di telefono non è affatto buona, almeno quando si tratta di un singolo fattore IMHO.

yatharth mheshwari
2020-07-15 03:34:26 UTC
view on stackexchange narkive permalink

Non sono un esperto Ma quando devo cambiare la password dei miei account Google. Mi dicono sempre che l'OTP è stato inviato a questo numero specifico.

Ho diversi numeri di cellulare. E non ricordo quale numero di telefono ho usato su un sito web. alcuni vecchi siti web hanno inviato l'OTP al numero di telefono che non possiedo adesso, quindi sarebbe un problema se non mostrassero a quale numero stanno inviando l'OTP.

Quindi lo consiglierei mostrando il numero collegato all'account di cui vogliono cambiare la password.

finalmente, direi che ci sono migliaia di vulnerabilità Ma non le teniamo in considerazione perché la probabilità che accada è minuta e non vale il disagio causato da esso



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...