计算机科学研究人员开发了一种新的方法来识别安全漏洞,这些漏洞使人们容易受到账户接管攻击,黑客可以未经授权访问在线账户。
现在,大多数手机都是一个由相互关联的操作软件和应用程序组成的复杂生态系统的所在地,随着在线服务之间的连接越来越多,黑客利用安全漏洞的可能性也越来越大,往往会给用户带来灾难性的后果。
伯明翰大学计算机科学学院的卢卡·阿纳波迪博士解释说:“人们都知道偷偷摸摸地偷看别人的密码。然而,攻击者的最终目标是获得应用程序的访问权限,这些应用程序存储了大量的个人信息,可以访问亚马逊、谷歌、X、苹果支付甚至银行账户。”
为了理解和防止这些攻击,研究人员必须进入黑客的思想,他们可以通过组合较小的战术步骤来构建复杂的攻击。
Luca Arnaboldi博士与爱丁堡大学的David Aspinall教授、特温特大学的Christina Kolb博士和萨里大学的Sasa Radomirovic博士合作,通过减少安全漏洞的组成模块,定义了一种对安全漏洞进行分类和对账户接管攻击进行建模的方法。
到目前为止,安全漏洞已经通过“帐户访问图”进行了研究,该图显示了手机,SIM卡,应用程序以及限制每个访问阶段的安全功能。
然而,账户访问图并不能模拟账户接管,即攻击者从账户生态系统中断开设备或应用程序的连接,例如,通过取出SIM卡并将其放入另一部手机。由于SMS消息将在第二部手机上可见,因此攻击者可以使用SMS驱动的密码恢复方法。
研究人员克服了这一障碍,开发了一种新的方法来模拟当设备、SIM卡或应用程序与账户生态系统断开连接时,账户访问如何变化。
他们的方法以数学家和哲学家使用的形式逻辑为基础,捕捉到黑客在访问手机和密码时所面临的选择。
研究人员希望这种方法能被设备制造商和应用程序开发人员采用,他们希望对漏洞进行分类,并进一步了解复杂的黑客攻击。这项研究发表在《计算机安全- esorics 2023》上。
公开的报告还详细说明了研究人员是如何针对《华尔街日报》(Wall Street Journal)一篇报道中的说法测试他们的方法的。《华尔街日报》推测,用于访问iPhone上数据和银行账户的攻击策略可以在Android上复制,尽管没有此类攻击的报道。
Android应用程序是从Play Store安装的,安装需要一个Google帐户,研究人员发现这种连接提供了一些防止攻击的保护。他们的研究还建议对iPhone进行安全修复。
阿纳博迪博士说:“我们的模拟结果显示,由于谷歌账户的安全功能,iPhone黑客用来访问苹果支付的攻击策略无法用于访问安卓支付。模拟还建议对iphone进行安全修复——需要使用之前的密码和pin,这是一个大多数用户都欢迎的简单选择。”
苹果现在已经对此进行了修复,为iPhone用户提供了一层新的保护。
研究人员在其他设备(摩托罗拉G10 Android 11、联想YT-X705F Android 10、小米Redmi Note Pro 10 Android 11和三星Galaxy Tab S6 Lite Android)上重复了这一实验。在这里,他们发现拥有自己的制造商账户(三星和小米)的设备与苹果一样存在漏洞——尽管谷歌账户仍然安全,定制账户却遭到了破坏。
研究人员还用他们的方法在自己的移动设备上测试了安全性,结果出乎意料。其中一人发现,让妻子访问共享的iCloud账户会危及他的安全——尽管他的安全措施已经尽可能安全,但她的联系链却不安全。
更多信息:Luca Arnaboldi等人,账户访问图策略,计算机安全- esorics 2023(2024)。DOI: 10.1007/978-3-031-51479-1_23由伯明翰大学提供引文:研究人员揭示了对抗手机“帐户接管”攻击的新方法(2024年,1月22日)检索自2024年1月22日https://techxplore.com/news/2024-01-unveil-counter-mobile-account-takeover.html此文档受版权保护。除为私人学习或研究目的而进行的任何公平交易外,未经书面许可,不得转载任何部分。内容仅供参考之用。
