逆向工程师:黑掉移动登陆令牌可行
我觉得我现在被克隆了,总有两个一样的我跟在身边。
XMobile应用能够为双因素认证生成显示在屏幕上的令牌。安全研究人员警告称,该应用可能被恶意软件检验并克隆。
诈骗犯可以利用这些克隆来生成登陆银行账号和其它在线服务所必须的代码,制造受害者。
银行极度依赖于此类令牌来验证用户,但基于智能手机的这项技术相比于传统的硬件令牌而言又带来了新的风险。
Vantage Point Security公司董事、安全研究人员Bernhard Mueller称,制造克隆软件所需要的工作量取决于预防反向工程的防御措施的质量。
入侵那些被广泛使用的移动式双因素认证技术并不那么简单,然而对于技术高超而机智的黑客而言仍旧可能。
Mueller对媒体表示:“克隆Vasco Digipass的工作量不小,大概需要七周时间。我的见解是,它们的防御实际上很棒。我们花了两周的时间来开发用于RSA SecurID的工具。RSA的官方立场是不支持使用Root后的设备,因此他们配备的额外防御并不多。”
RSA还没有针对这一研究成果发表声明。Vasco表示,Mueller指出的漏洞只对其演示应用有效,也即Digipass for Mobile的演示版本和MyBank,它们的安全性能不如实际出产的应用。
Vasco Data Security公司公关副总裁John Gunn表示:“这篇论文描述的攻击方式仅能够应用于我们的演示应用。演示应用和实际世界之间的区别是很大的。”
一篇被称为Hacking Mobile Token的68页文章中给出了来自两家相关厂商的官方回应。制作人是Mueller,该文章已经在新加坡近日举行的Hack In The Box大会上发布。Mueller将概念验证工具和幻灯片整合进了他的研究中,并得出结论称,研究的目标是证明几乎所有东西都能被入侵,只要具备足够的时间和资源。
完美的混淆方案是不可能的。无法防止拥有白盒权限的对手访问一些功能,并最终理解、重新制作该功能。移动令牌也无法幸免,因此用户应当意识到,没有软件保护能够真正防止他们的双因素认证信息被拥有Root级别权限的对手窃取。Mueller基于他的研究给出了多种防御策略。
Mueller对媒体表示:“应当警告企业和个人用户,在使用这些产品时随时打开PIN模式。”
本文转自d1net(转载)
逆向工程师:黑掉移动登陆令牌可行相关推荐
- Python灰帽子--黑客与逆向工程师的Python编程之道 笔记,过程问题解决
↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑电脑端的可以看看目录 跟着学习进度不断更新中....(因为懒,没更新了,也不打算继续更新文章了......) power by <p ...
- 如何黑掉一个宇宙?一文带你详解Meterpreter后渗透模块攻击(文末赠送免费资源哦~)
如何黑掉一个宇宙?一文带你详解Meterpreter后渗透模块攻击(文末赠送免费资源哦~) 文末赠送超级干货哈 一.名词解释 exploit 测试者利用它来攻击一个系统,程序,或服务,以获得开发者意料 ...
- “特斯拉破解第一人”又造出“万能车破解器”:黑掉一辆车有多简单?
在 SyScan 360 的上海会场上,破解特斯拉的第一人,360 车联网安全中心工程师刘健皓开玩笑说,在北京吃了三年烤鸭后(之前的 Syscan 360 在北京举办),终于可以来黄浦江的游艇上喝啤酒 ...
- 26秒!全球销量第一的AI音箱就被腾讯黑掉了,然后变身窃听器
雷刚 发自 凹非寺 量子位 报道 | 公众号 QbitAI 对不起,你担心的事情成真了. 现在你买一台"能说会道"的智能音箱,能秒变窃听器. 所谓AI+IoT,正在把所有人带入一 ...
- 从“黑掉Github”学Web安全开发
2019独角兽企业重金招聘Python工程师标准>>> 本文转载自酷壳(CoolShell.cn),原文内容如下. Egor Homakov(Twitter:@homakov 个人 ...
- 利用SAP 0day,四分钟内黑掉华尔街
本文讲的是利用SAP 0day,四分钟内黑掉华尔街,2017年5月20日,由唯品会信息安全部主办,唯品会安全应急响应中心承办的"因唯安全,所以信赖--深度揭秘唯品会信息安全建设实践 2017 ...
- UC-Android逆向工程师面试第2题分析
博客链接:http://blog.csdn.net/qq1084283172/article/details/52133172 一.简介 这个题目是别人面试UC优视集团Android逆向工程师一职位的 ...
- 游戏安全逆向工程师:从入门到精通83课分享
游戏安全逆向工程师-01.简单的介绍一下DLL是怎样的一种存在 游戏安全逆向工程师-02.Windows.API编程速成-环境搭建 游戏安全逆向工程师-03.Windows_API是什么东西 游戏安全 ...
- 美国参议员建议立法“黑掉国土安全部”
5月25日,参议员马吉·哈桑和罗博·波特曼引入<黑了国土安全部法案>,意图在国土安全部建立联邦漏洞奖励项目. 漏洞奖励项目鼓励黑客测试技术系统的安全.工程师们狩猎代码中的"漏洞& ...
最新文章
- 大多数Web浏览器中都可以使用PUT,DELETE,HEAD等方法吗?
- 使用Spring Data的Apache Ignite
- 乐高ev3 读取外部数据_数据就是新乐高
- 计算机里的网络是什么意思啊,计算机网络中本地站点是什么意思
- CAN总线(1)--初探(更新中)
- 适合新手学习的laravel接入微信接口,实现微信公众号二次开发
- 封装 电流密度 重布线_电子封装陶瓷基板(3/5)
- 单机版kubernetes1.13安装
- 【ROS学习笔记】(五)话题消息的定义与使用
- [JNI] 开发基础(6)字符串相关操作
- Tomcat的实现原理
- Web前端 学习知识点总结(十二)jQuery进阶 表单验证和简单正则表达式
- win11使用excel卡顿怎么办 Windows11使用excel卡死的解决方法
- 基于图片的三维重建深度图与原图
- 大数据要学javaweb吗_纠结!Java和大数据学哪个更好?
- 201919102004张雪婷(第六次作业)
- xsl:apply-templates和xsl:call-template的区别
- (附源码)springboot车辆管理系统 毕业设计 031034
- 【My Electronic Notes系列——组合逻辑电路】
- 一个清华大学生几天猎头生活的感想---很有感触的一篇文章(zz)
热门文章
- 【阅读摘要】风冷及风道设计
- html5小米618,小米放大招!迎战618 终于等到了!
- 小米10Pro手机双击android,被迫性价比?小米10pro入手体验
- 数据库enum怎么对应java_java – 如何持久化EnumSet(使用两个数据库表)?
- 最新论文笔记(+17):Policy-based Chameleon Hash for Blockchain Rewriting with Black-box Accountability/ACSAC
- 网站SEO实践之 - 解决网站不收录的必备思路
- JVM崩溃原因之一:自己的代码有问题
- springboot+vue实现微信扫描支付
- 稀疏数组——实现五子棋存盘和续上盘功能
- ES6学习笔记(字符串扩展)