2P by neo 5달전 | favorite | 댓글 1개
  • 일회용 비밀번호와 SMS

    • 일회용 비밀번호는 종종 SMS를 통해 전송됨
    • CCC의 보안 연구자들이 200개 이상의 회사에서 보낸 2억 개 이상의 SMS 메시지에 실시간으로 접근함
  • SMS를 통한 이중 인증(2FA-SMS)

    • 2FA-SMS는 인증 보안을 높이기 위한 방법임
    • 정적 비밀번호와 함께 SMS로 전송된 동적 코드가 필요함
    • 사용자는 로그인 시 이 코드를 입력해야 하며, 이는 비밀번호(1차 요소: 지식)와 전화번호 접근 권한(2차 요소: 소유)을 증명함
    • 도난된 비밀번호만으로는 사용자의 계정을 탈취할 수 없음
  • 잘 알려진 공격 벡터

    • SIM 스와핑이나 모바일 네트워크의 SS7 취약점을 이용해 공격자가 SMS 메시지를 가로챌 수 있음
    • 피싱 공격을 통해 사용자가 일회용 비밀번호를 노출하도록 유도할 수 있음
    • CCC는 2013년부터 SMS를 2차 요소로 사용하는 것을 권장하지 않음
    • 그럼에도 불구하고 2FA-SMS는 널리 사용되고 있으며, 단순 비밀번호 인증보다 더 높은 보안을 제공함
  • 이제 온라인에서도 볼 수 있음!

    • CCC는 2FA-SMS에 대한 이전에 간과된 공격을 시연함
    • 서비스 제공업체는 다양한 회사와 서비스에 대해 대량의 SMS를 전송하며, SMS 내용에 접근할 수 있음
    • 따라서 인증 과정의 보안은 이러한 제공업체의 보안에 달려 있음
  • IdentifyMobile의 실수

    • IdentifyMobile은 실시간으로 인터넷에 일회용 비밀번호를 공유함
    • CCC는 우연히 이 데이터를 접근할 수 있었음
    • "idmdatastore"라는 서브도메인을 추측하는 것만으로 충분했음
    • SMS 내용 외에도 수신자의 전화번호, 발신자 이름, 기타 계정 정보가 보였음
  • 200개 이상의 회사에서 2억 개의 SMS

    • Google, Amazon, Facebook, Microsoft, Telegram, Airbnb, FedEx, DHL 등 200개 이상의 회사가 영향을 받음
    • 총 1억 9천 8백만 개의 SMS가 유출됨
    • 실시간 피드를 보기만 해도 WhatsApp 번호를 탈취하거나 금융 거래를 수행하거나 비밀번호를 알고 있는 경우 다양한 서비스에 로그인할 수 있었음
  • (아직은) 재앙이 아님

    • SMS 코드를 악용하려면 일반적으로 비밀번호가 필요함
    • 그러나 "1-클릭 로그인" 링크도 데이터에 포함되어 있었음
    • 일부 대형 회사의 경우 IdentifyMobile이 보호하는 개별 서비스만 영향을 받음
    • IdentifyMobile의 부주의로 인해 회사와 고객이 큰 위험에 노출됨
    • 데이터 보호 부서에서 유사한 문의가 전 세계적으로 쇄도하고 있음
  • 우리는 데이터를 보관하지 않았음

    • 그러나 다른 사람들이 접근했을 가능성을 배제할 수 없음
  • 2FA-SMS는 아무것도 없는 것보다는 낫지만, 다른 방법을 사용해야 함

    • 앱에서 생성된 일회용 비밀번호나 하드웨어 토큰을 사용하는 것이 더 안전하며 모바일 네트워크와 독립적임
    • 이 옵션이 가능하다면 이를 사용하는 것을 권장함
    • 그리고 어떤 2차 요소도 단순 비밀번호보다 나음

GN⁺의 정리

  • 이 기사는 SMS 기반 이중 인증의 보안 취약점을 다루고 있음
  • IdentifyMobile의 실수로 인해 2억 개 이상의 SMS가 유출되었으며, 이는 많은 회사와 고객에게 큰 위험을 초래함
  • 2FA-SMS는 단순 비밀번호보다 안전하지만, 앱 기반 일회용 비밀번호나 하드웨어 토큰을 사용하는 것이 더 나음
  • 이 기사는 보안에 관심이 있는 사람들에게 유용하며, SMS 기반 인증의 위험성을 경고함
Hacker News 의견
  • 가족 친구가 Google Ads를 통해 유도된 피싱 공격에 당한 경험을 공유함

    • 공격자는 "BANKNAME login" 같은 검색어로 광고를 냄
    • 가짜 사이트에 2fa 코드를 입력했지만, 두 번째 코드를 요구받음
    • 두 번째 코드는 새로운 "pay anyone" 수신자를 추가하는 데 사용됨
    • 결국 돈을 잃었지만 나중에 되찾음
  • 두 개의 은행 계좌를 가지고 있으며, 하나는 SMS 2fa를 사용하고 다른 하나는 앱을 사용함

    • 앱이 기본적으로 더 안전하다고 생각했지만, 특정 상황에서는 SMS가 더 나을 수 있음
    • 이상적인 2fa는 거래 유형에 따라 다른 토큰을 생성하는 것임
  • SMS 2FA를 강제하는 회사들은 보안에 신경 쓰지 않고 전화번호를 원한다고 의심함

    • NIST는 SMS 2FA를 사용하지 말라고 권고함
    • 많은 은행들이 루팅된 폰에서 앱을 실행하지 않기 때문에 SMS 2FA를 강제함
  • ChatGPT 4를 사용해 은행 웹사이트의 스크린샷을 분석해 피싱 여부를 확인해봄

    • URL의 한 글자를 변경하자 피싱 시도로 인식함
    • 스크린샷을 자동으로 분석해 합법적인지 여부를 모델이 판단할 수 있음
  • 영국에서는 거의 모든 온라인 은행 거래가 SMS로 검증됨

    • 법적으로 요구되는 것 같음
    • 이전의 카드 + 카드 리더기 + 핀 검증 시스템이 더 안전했음
    • 이 시스템이 잘못된 선택임을 인식하고 수정되기를 희망함
  • 기사에서 두 가지 다른 보안 문제를 혼동하고 있음

    • "1-click login" 링크는 SMS 접근만으로도 위험함
    • 2FA 코드는 두 번째 요소로, 비밀번호도 필요하기 때문에 덜 걱정됨
  • 스웨덴은 BankID로 이 문제를 해결함

    • 공공 및 민간 기관 간의 협력으로 가능해짐
    • 정부 서비스와 대부분의 은행에서 로그인과 2fa에 사용됨
    • 다른 나라나 EU 전체에 이런 시스템이 없는 것이 놀라움
  • S3 버킷의 메시지가 5분마다 업데이트됨

    • Twilio Verify(2FA API)뿐만 아니라 이 벤더를 통해 전송된 모든 SMS가 영향을 받음
  • 여러 금융 기관이 SMS 2FA를 요구하며, HOTP/TOTP 옵션을 제공하지 않음