原则上,启用双因素身份验证始终是一个好主意。但如果一次性密码是在受感染的智能手机上通过短信接收的,这显然是一个问题。为了降低这种风险,谷歌去年三月限制了应用程序对短信的访问。但黑客已经成功绕过了这个新障碍。事实上,Eset 的安全研究人员发现,针对土耳其语用户的移动应用程序一旦安装,就会请求访问通知。
这看似微不足道,但实际上非常聪明。对通知的访问允许应用程序拦截这些警报中显示的文本。然而,在双重身份验证的情况下,该文本已经包含密码的情况并不罕见。如果黑客最初成功收集了相应的登录名和密码,那么他就能够完全盗用用户的身份。此技术不仅适用于通过短信发送的代码,也适用于通过电子邮件发送的代码。
因此,为了避免被愚弄,您必须避免向所有应用程序授予通知访问权限。还有必要尽可能支持基于专用移动应用程序(例如 Google Authenticator 或 Microsoft Authenticator)的双重身份验证系统。这些不使用通知系统。
来源:埃塞特
