原則上,啟用雙重認證始終是一個好主意。但如果一次性密碼是在受感染的智慧型手機上透過簡訊接收的,這顯然是一個問題。為了降低這種風險,谷歌去年三月限制了應用程式對簡訊的存取。但駭客已經成功繞過了這個新障礙。事實上,Eset 的安全研究人員發現,針對土耳其語用戶的行動應用程式一旦安裝,就會要求訪問通知。
這看似微不足道,但其實非常聰明。對通知的存取允許應用程式攔截這些警報中顯示的文字。然而,在雙重身份驗證的情況下,該文字已經包含密碼的情況並不罕見。如果駭客最初成功收集了相應的登入名稱和密碼,那麼他就能夠完全盜用使用者的身分。此技術不僅適用於透過簡訊發送的代碼,也適用於透過電子郵件發送的代碼。
因此,為了避免被愚弄,您必須避免向所有應用程式授予通知存取權限。還有必要盡可能支援基於專用行動應用程式(例如 Google Authenticator 或 Microsoft Authenticator)的雙重驗證系統。這些不使用通知系統。
來源:埃塞特
