逆向工程師 黑掉移動登陸令牌可行

2021-09-30 22:47:29 字數 999 閱讀 5616

我覺得我現在被轉殖了,總有兩個一樣的我跟在身邊。

xmobile應用能夠為雙因素認證生成顯示在螢幕上的令牌。安全研究人員警告稱,該應用可能被惡意軟體檢驗並轉殖。

銀行極度依賴於此類令牌來驗證使用者,但基於智慧型手機的這項技術相比於傳統的硬體令牌而言又帶來了新的風險。

vantage point security公司董事、安全研究人員bernhard mueller稱,製造轉殖軟體所需要的工作量取決於預防反向工程的防禦措施的質量。

入侵那些被廣泛使用的移動式雙因素認證技術並不那麼簡單,然而對於技術高超而機智的黑客而言仍舊可能。

mueller對**表示:「轉殖vasco digipass的工作量不小,大概需要七周時間。我的見解是,它們的防禦實際上很棒。我們花了兩周的時間來開發用於rsa securid的工具。rsa的官方立場是不支援使用root後的裝置,因此他們配備的額外防禦並不多。」

rsa還沒有針對這一研究成果發表宣告。vasco表示,mueller指出的漏洞只對其演示應用有效,也即digipass for mobile的演示版本和mybank,它們的安全效能不如實際出產的應用。

vasco data security公司公關副總裁john gunn表示:「這篇**描述的攻擊方式僅能夠應用於我們的演示應用。演示應用和實際世界之間的區別是很大的。」

一篇被稱為hacking mobile token的68頁文章中給出了來自兩家相關廠商的官方回應。製作人是mueller,該文章已經在新加坡近日舉行的hack in the box大會上發布。mueller將概念驗證工具和幻燈片整合進了他的研究中,並得出結論稱,研究的目標是證明幾乎所有東西都能被入侵,只要具備足夠的時間和資源。

完美的混淆方案是不可能的。無法防止擁有白盒許可權的對手訪問一些功能,並最終理解、重新製作該功能。移動令牌也無法倖免,因此使用者應當意識到,沒有軟體保護能夠真正防止他們的雙因素認證資訊被擁有root級別許可權的對手竊取。mueller基於他的研究給出了多種防禦策略。

mueller對**表示:「應當警告企業和個人使用者,在使用這些產品時隨時開啟pin模式。」

測試工程師VS開發工程師 打敗開發工程師

測試空間旗下大頭針 出品 今天賀老師組織了一次內部培訓,目的是為了使我們帶領的兩位測試人員盡快的進入公司的專案組 參加部門會議的大多都是新員工,他們公司剛剛找了乙個專門開發 的程式設計師。首先賀老師給我們講解了dms的體系結構。公司產品結構挺有意思的,有終端機 支援gprs的sim卡,gis卡,gp...

devops工程師 DevOps工程師的認證

devops工程師 devops的團隊欣賞使用devops的過程 尤其是在多 和混合雲基礎架構,原因是多方面的。一方面,devops打破了障礙,使敏捷軟體開發和it運營的持續交付成為可能。它在企業中也很流行,因為它可以通過數位化轉型幫助加速業務成果。隨著敏捷實踐和流程深入企業內部,具有擴充套件框架知...

工程師心聲

悲情竹科男網路寫續集 迴響熱烈 更新日期 2007 12 01 04 39 馬瑞君 新竹報導 科技新貴是不是真的是人人稱羨有名車豪宅 大批 分紅 女生排隊搶著要的 黃金單身漢 一名竹科工程師的竹科單身漢心聲兩年前在網路上造成轟動,兩年後他再寫續集,同樣是單身 沒有情人陪伴,被極度壓榨 沒有目標重心的...