Teddyid, egyszeri jelszavak - haszontalan
Yandex felhasználók erősítse meg az egyes ellátási művelet segítségével egyszeri jelszót. Ennek célja, hogy megvédjék a pénzt, de a gyakorlatban sok esetben a védelem nem működik.
Yandex kétféle módja annak, hogy egy egyszer felhasználható jelszó - SMS „Yandex” mobil alkalmazás kódok iOS, Android és Windows Phone.
Ha a felhasználó kiválasztja SMS, majd amikor ő teszi a tranzakció, mint például transzferek 10 rubelt az erszényes szám 123456, ő kap egy SMS-tartalmának „jelszó 1234. Transfer 123456 10p.”. Ha a felhasználó valóban akarta átvinni más összeget egy másik táskában vagy nem próbált átvinni a pénzt, akkor nem fogja be az SMS-jelszó és pénzt marad vele. Ez egy példa, ahol a második tényező a védelem - SMS-jelszó - működik.
Mivel a típusú támadás MitB ismert, több mint 10 éve, és azok végrehajtása rendkívül egyszerű, és a biztonsági rés kapcsolatos Yandex.Money MitB látható szabad szemmel, akkor valószínű, hogy a felhasználók Yandex már többször volt kitéve ilyen támadások, és az elveszett pénz.
Írtam Yandex már létező sebezhetőséget, és ez az, amit kapott válaszul:
Tudjuk, hogy létezik a MitB. De ebben az esetben, a fenti forgatókönyv nehéz vizsgálni szolgáltatás sebezhetőségét. El tudod képzelni, egy ilyen forgatókönyv lehetséges nem csak a szolgáltatás Yandex.Money, hanem bármely honlapján. Mi mindent megteszünk lehet megvédeni a fizetési oldalára, és a felhasználók feltételei szerint a felhasználói megállapodást (p.4.21.7) biztosítania kell a biztonságot a kapcsolat és egy számítógép, a szokásos jogorvoslati (anti-vírus, stb.) Mindazonáltal elleni védekezés támadások, például MitB mi is dolgoztunk.
Mit lehet tenni, amíg a Yandex.Money dolgozó felhasználók elleni védekezés MitB típusú támadások? Ha nem lehet 100% -ban biztos, hogy nem vette fel semmilyen trójai, majd kapcsoljuk be a jelszót SMS-ben, ha egyetért abban, hogy a tranzakció segítségével egyszeri jelszavak alkalmazása, és ne használja sürgősségi kódokat. De még ennél is megfelelő, ha Yandex maguk nem nyújtanak a felhasználóknak közismerten biztonságos lehetőségek: egyszeri jelszavak alkalmazása és a hibakódok.
Beszéltem erről a sebezhetőséget Yandex segíteni a hétköznapi felhasználók megkülönböztethetők a valódi többrétegű elleni védekezés biztonságát színház. És azt is, hogy figyelmeztesse a többi szolgáltatást megismételve a hibát, hogy már ismert, több mint 10 éve. Számukra nem csak állapítsa meg a probléma, hanem a termék teljes körű biztonságos kéttényezős védelmet.