Атака на двухфакторную аутентификацию с применением мобильного устройства была продемонстрирована учеными из Амстердамского свободного университета Радхешом Кришнаном Конотом, Виктором ван дер Веном и Гербертом Босом. Исследователями была проведена атака типа Man-in-the-Browser против смартфонов под управлением Android и iOS.
Проблему с двухфакторной аутентификацией спровоцировал рост популярности смартфонов и желание пользователей синхронизировать информацию между разными устройствами. Двухфакторная аутентификация основана на принципе физического разделения устройств для обеспечения защиты от вредоносных программ. Но из-за синхронизации данных подобная сегментация становится бесполезной.
Эксперты через Google Play установили уязвимое приложение, которое смогло преодолеть проверку Google Bouncer и было в результате использовано для того, чтобы перехватывать одноразовые пароли.
Чтобы осуществить атаку на iOS, специалисты воспользовались новым функционалом в OS X, получившим название Continuity, который позволяет осуществлять синхронизацию SMS-сообщений между iPhone и Mac. При наличии активированного Continuity злоумышленник должен просто иметь доступ к компьютеру для того, чтобы прочитать все сообщения.
Как утверждают исследователи, приложение для кражи одноразовых паролей было добавлено в Google Play 8 июля минувшего года и было доступным для пользователей на протяжении 2 месяцев. Эксперты 30 ноября прошлого года проинформировали Apple об уязвимости, но не получили какого-либо ответа от представителей корпорации.