比利時安全資訊研究員arne swinnen報告在instagram(facebook),谷歌和微軟產品中,發現了乙個共同的利用2fa驗證機制缺陷的驗證服務的漏洞。這些公司部署的2fa驗證機制 可通過簡訊的形式傳送短驗證碼,同時也可以使用人工語音通話讀出驗證碼的形式驗證,swinnen發現的漏洞則利用了後一種驗證方式的缺陷。這些語音通話通常將那些特定使用者的**號碼和使用者賬號緊密互綁,swinnen理論上可以利用此漏洞向這些服務的使用者賬戶發動攻擊,在實驗中他發現instagram,谷歌和微軟office 365賬戶使用相同的驗證機制因此攻擊可以在三方賬戶內同時奏效。
隨後他將任一賬戶與高階**號碼繫結,而非普通**號碼,當三個賬號服務中任一向使用者傳送訪問驗證碼時,由於使用高階號碼的sms可通過註冊通話並向來電公司收取話費。攻擊者可以通過建立虛假的instagram賬號、谷歌或微軟賬號,並**至乙個高階**服務(premium phone service)。通過互相指向和**獲取話費利潤,使用自動指令碼提高效率後,研究員估計以為攻擊者可以為所有賬號同時大量地傳送2fa驗證請求,根據合法的話費收取獲得大量的利潤。他預計如果使用得當,攻擊者一年可通過此項攻擊從instagram服務中獲得206.6萬英鎊的收入,谷歌43.2萬英鎊,微軟66.0萬英鎊。
研究人員在部落格中闡述了漏洞的細節,並向微軟谷歌和facebook報告了相應的漏洞,獲得了facebook 2000美元的獎勵,微軟500美元的獎勵,谷歌更是在公司的名人堂中刻上了他的名字。
***********************************=分割線******************************==
做 NLP 演算法研究,去大公司還是創業公司?
答案當然不是大公司。雖說計算資源這乙個點,現在語言模型越搞越大,創業公司恐怕很難負擔得起訓練成本。但這麼想通常都是錯的。有一家 nlp 創業公司不僅解決了這個問題 他們今年初與國內一家大型雲服務企業達成合作 合作詳情後續會隨研究成果一起公布 提供充足的計算資源 數千枚 ai 晶元。而且更重要的是在團...
研究人員發現新漏洞 多數手機都可被完全控制
移動運營商在手機 平板電腦甚至汽車上安裝了這種名為odm的機制,希望以此傳輸軟體更新,並調整裝置配置。但研究人員卻發現,odm中存在一系列漏洞,可能會被不法分子利用。在測試中,accuvant的研究人員可以通過這些漏洞遠端控制蘋果和其他大企業出品的移動裝置。他們可以隨意安裝任何軟體,從而竊取敏感資料...
安全研究人員發現入侵Nest溫控器的方法
智慧型家居已經進入了我們生活的方方面面,但智慧型裝置在帶來便利的同時也帶來了安全風險。之前我們已經討論過很多針對物聯網裝置的攻擊事件,近日我們又發現了乙個針對智慧型家居裝置的攻擊方式。入侵nest溫控器產品 trapx security的研究者演示了如何入侵聯網狀態下的nest 谷歌收購的智慧型家居...