Google menjadi salah satu penyedia layanan web berbasis atas, memiliki sejumlah besar pengguna internet availing layanan gratis dan berbayar untuk kebutuhan mereka sehari-hari pribadi dan / atau profesional. Banyak dari mereka telah dikonfigurasi nomor ponsel mereka untuk account opsi pemulihan password mereka. Tentu saja, ketika datang mobilitas, banyak dari pengguna lebih memilih ponsel Google android berbasis pintar dan tablet untuk mengakses layanan ini kapan saja, di mana saja.
Dalam hal terjadi masalah dalam mengakses layanan GMAIL, pengguna telah disediakan dengan pilihan untuk me-reset password account dengan hanya meminta Google untuk mengirim kode verifikasi pada nomor ponsel pra-terdaftar.
Di sisi lain, Android (sistem operasi mobile dari Google) berbasis perangkat yang digabungkan dengan fitur keamanan untuk menjaga privasi data pengguna / informasi yang utuh. Pengguna dapat memilih untuk mengatur tingkat keamanan dari tidak ada Password (Tinggi), ini memastikan bahwa, untuk mengakses perangkat mobile dan informasi di dalamnya, pengguna perlu melewati validasi keamanan yang diperlukan, jenis otentikasi.
Namun, masalah yang dijelaskan di sini, tidak perlu Anda punch-dalam setiap jenis kode keamanan atau pola untuk membaca isi SMS tiba dan dengan demikian memudahkan dalam mengurangi account Google dikonfigurasi untuk menggunakan ponsel mengatakan.
Masalah ini telah diidentifikasi / dilaporkan oleh RnD Lab di Varutra Consulting. Varutra konsultasi adalah konsultasi keamanan informasi dan pelatihan perusahaan jasa berbasis di Pune, India didirikan oleh Mr Kishor Sonawane.
Mari kita lihat pada dua isu yang berbeda dan bagaimana menggunakannya untuk hacking akun Gmail. Masalah pertama dibahas di bawah ini,
Masalah ini telah diidentifikasi / dilaporkan oleh RnD Lab di Varutra Consulting. Varutra konsultasi adalah konsultasi keamanan informasi dan pelatihan perusahaan jasa berbasis di Pune, India didirikan oleh Mr Kishor Sonawane.
Mari kita lihat pada dua isu yang berbeda dan bagaimana menggunakannya untuk hacking akun Gmail. Masalah pertama dibahas di bawah ini,
1. Ponsel Android / tablet berfungsi SMS:
Dalam kasus lupa password, kebutuhan pengguna untuk pergi ke "tidak dapat mengakses akun Anda?" Link dan membuat pilihan dari berbagai pilihan pemulihan untuk mereset password akun. Dalam kasus ini, pengguna memilih untuk menerima pesan teks dengan kode verifikasi nomor pra-konfigurasi ponselnya.
Dalam kasus lupa password, kebutuhan pengguna untuk pergi ke "tidak dapat mengakses akun Anda?" Link dan membuat pilihan dari berbagai pilihan pemulihan untuk mereset password akun. Dalam kasus ini, pengguna memilih untuk menerima pesan teks dengan kode verifikasi nomor pra-konfigurasi ponselnya.
Setelah kode verifikasi dikirim pada nomor ponsel, Google meminta pengguna untuk memasukkan kode.
Seperti sebelumnya Dibahas di bawah ini adalah pilihan kunci layar pada ponsel android (dari 3-5). Jika pengguna memilih untuk mengkonfigurasi salah satu dari pilihan 3-5, ia / dia perlu untuk memberi makan-in sama untuk mengakses perangkat dan informasi;
tak satupun
babatan
pola
PIN
kata sandi
Sekarang, pertimbangkan layar ponsel terkunci dengan pilihan yang diinginkan dan ponsel menerima kode verifikasi. Dalam keadaan normal, pengguna perlu melewati kontrol keamanan untuk membaca kode verifikasi dan pada gilirannya, untuk mereset password akun Google. Tapi, cacat, kita bahas di sini, memungkinkan konten SMS (kode verifikasi, dalam kasus kami) yang akan ditampilkan pada panel satu baris notifikasi di bagian atas layar ponsel bahkan jika ponsel berada dalam modus kunci keamanan, yang dapat dibaca oleh siapapun.
Ini berarti segera telepon menerima kode verifikasi dari server GMAIL itu semakin ditampilkan dalam format yang mudah dibaca untuk siapa saja yang memiliki akses ke telepon atau setidaknya pada jarak seperti di mana ia / dia bisa melihat layar ponsel terkunci.
Seberapa sulit bagi Anda untuk membaca SMS satu baris menampilkan pada teman / rekan LOCKED telepon?
tak satupun
babatan
pola
PIN
kata sandi
Sekarang, pertimbangkan layar ponsel terkunci dengan pilihan yang diinginkan dan ponsel menerima kode verifikasi. Dalam keadaan normal, pengguna perlu melewati kontrol keamanan untuk membaca kode verifikasi dan pada gilirannya, untuk mereset password akun Google. Tapi, cacat, kita bahas di sini, memungkinkan konten SMS (kode verifikasi, dalam kasus kami) yang akan ditampilkan pada panel satu baris notifikasi di bagian atas layar ponsel bahkan jika ponsel berada dalam modus kunci keamanan, yang dapat dibaca oleh siapapun.
Ini berarti segera telepon menerima kode verifikasi dari server GMAIL itu semakin ditampilkan dalam format yang mudah dibaca untuk siapa saja yang memiliki akses ke telepon atau setidaknya pada jarak seperti di mana ia / dia bisa melihat layar ponsel terkunci.
Seberapa sulit bagi Anda untuk membaca SMS satu baris menampilkan pada teman / rekan LOCKED telepon?
Skenario Serangan: Di era teknologi tinggi saat ini, tidak sulit untuk mengetahui seseorang (teman, rekan kerja, manajer, relatif dll) Gmail Id, nomor ponsel, dan cocok jika nomor ponsel dipetakan dengan akun Google.
Seorang penyerang pada mengetahui Id Gmail, nomor telepon pengguna korban dan memiliki akses / reachability / visibilitas ke perangkat mobile pengguna korban (bahkan dalam Security Mode Dikunci) dapat melakukan permintaan kode verifikasi yang akan dikirim pada nomor ponsel dan dapat membaca kode bermunculan di panel notifikasi. Hal yang sama dapat menekan-in secara online pada halaman pemulihan Google untuk mereset password korban dan membahayakan akun Google dan mengakses pilihan akun pemulihan dan dengan memasukkan nomor telepon dapat membaca kode verifikasi dan reset password account korban dan kompromi account.
Setelah screenshot mengungkapkan bagaimana telepon terkunci menerima dan menampilkan kode verifikasi dalam pemberitahuan SMS.
Seorang penyerang pada mengetahui Id Gmail, nomor telepon pengguna korban dan memiliki akses / reachability / visibilitas ke perangkat mobile pengguna korban (bahkan dalam Security Mode Dikunci) dapat melakukan permintaan kode verifikasi yang akan dikirim pada nomor ponsel dan dapat membaca kode bermunculan di panel notifikasi. Hal yang sama dapat menekan-in secara online pada halaman pemulihan Google untuk mereset password korban dan membahayakan akun Google dan mengakses pilihan akun pemulihan dan dengan memasukkan nomor telepon dapat membaca kode verifikasi dan reset password account korban dan kompromi account.
Setelah screenshot mengungkapkan bagaimana telepon terkunci menerima dan menampilkan kode verifikasi dalam pemberitahuan SMS.
Tunggu, jika Anda tidak bisa membaca 6 digit kode verifikasi tembakan pertama maka Anda dapat mengirim permintaan lagi. Google tidak berhati-hati untuk mengirimkan kode acak untuk mencoba beberapa.
Misalnya Ketika diuji pada SAMSUNG ponsel android pengguna bahkan setelah pengaturan pola untuk mengunci layar rentan terhadap serangan ini. Jadi akar penyebab yang isi SMS ditampilkan di panel pemberitahuan terkunci android mobile dan perhatian sebenarnya menjadi, apakah benar-benar perlu untuk menampilkan isi SMS sebagai pemberitahuan?
Penyerang membaca kode verifikasi dapat mereset password akun korban dengan memasukkan kode verifikasi dan password baru yang diinginkan.
Misalnya Ketika diuji pada SAMSUNG ponsel android pengguna bahkan setelah pengaturan pola untuk mengunci layar rentan terhadap serangan ini. Jadi akar penyebab yang isi SMS ditampilkan di panel pemberitahuan terkunci android mobile dan perhatian sebenarnya menjadi, apakah benar-benar perlu untuk menampilkan isi SMS sebagai pemberitahuan?
Penyerang membaca kode verifikasi dapat mereset password akun korban dengan memasukkan kode verifikasi dan password baru yang diinginkan.
Android 4.1 dan di atas tampaknya telah menerapkan kontrol dan dengan demikian tidak ada lagi menampilkan masalah ini. Tetapi jika telepon tanpa kunci keamanan maka masih rentan.
Jika Anda adalah seorang pengguna android dan memiliki akun Gmail, hanya memiliki melihat opsi keamanan pada ponsel Anda. Drop sejalan dengan rincian merek dan versi OS jika Anda mengamati setiap ponsel rentan terhadap masalah ini.
Isu kedua adalah seperti yang dibahas dalam bagian 2.
Jika Anda adalah seorang pengguna android dan memiliki akun Gmail, hanya memiliki melihat opsi keamanan pada ponsel Anda. Drop sejalan dengan rincian merek dan versi OS jika Anda mengamati setiap ponsel rentan terhadap masalah ini.
Isu kedua adalah seperti yang dibahas dalam bagian 2.
2. Masalah keamanan dengan Google - kode verifikasi akun
Atas skenario dibahas dan tingkat keparahan keseluruhan bisa saja diminimalkan dengan kode verifikasi yang kompleks.
Seperti Google mengirimkan 6 digit kode verifikasi yang sangat sederhana dan mudah dibaca dan diingat. Dibutuhkan hanya 2 detik bagi pengguna berbahaya untuk membaca kode verifikasi penerima di SMS pada ponsel terkunci.
Jika kode verifikasi kombinasi karakter alfanumerik dengan panjang lebih dari 8 karakter (10 lebih baik), maka akan menjadi sulit untuk membaca kode / mengingatnya.
Solusi untuk masalah ini:
Hanya menampilkan notifikasi SMS yang diterima dan tidak menunjukkan isi sebenarnya dari SMS pada layar rumah terkunci ponsel android dapat mencapai remediasi terbaik masalah ini. Perilaku ini harus dilaksanakan untuk membuka serta telepon terkunci.
Selain itu, Google dapat menggunakan kode verifikasi yang lebih kompleks dengan kombinasi alfanumerik dan peningkatan panjang.
Mengingat kemudahan kegunaan jika Google tidak dapat mengubah kompleksitas kode verifikasi maka setidaknya mereka dapat menghasilkan kode acak pada setiap permintaan tunggal.
Atas skenario dibahas dan tingkat keparahan keseluruhan bisa saja diminimalkan dengan kode verifikasi yang kompleks.
Seperti Google mengirimkan 6 digit kode verifikasi yang sangat sederhana dan mudah dibaca dan diingat. Dibutuhkan hanya 2 detik bagi pengguna berbahaya untuk membaca kode verifikasi penerima di SMS pada ponsel terkunci.
Jika kode verifikasi kombinasi karakter alfanumerik dengan panjang lebih dari 8 karakter (10 lebih baik), maka akan menjadi sulit untuk membaca kode / mengingatnya.
Solusi untuk masalah ini:
Hanya menampilkan notifikasi SMS yang diterima dan tidak menunjukkan isi sebenarnya dari SMS pada layar rumah terkunci ponsel android dapat mencapai remediasi terbaik masalah ini. Perilaku ini harus dilaksanakan untuk membuka serta telepon terkunci.
Selain itu, Google dapat menggunakan kode verifikasi yang lebih kompleks dengan kombinasi alfanumerik dan peningkatan panjang.
Mengingat kemudahan kegunaan jika Google tidak dapat mengubah kompleksitas kode verifikasi maka setidaknya mereka dapat menghasilkan kode acak pada setiap permintaan tunggal.
S0urces:
0komentar:
Post a Comment