Guten Morgen, On 27.09.19 11:05, Bernd Kohler wrote:
"Keine Sicherheit: Zwei-Faktor-Authentifizierung automatisiert hacken" tl;dr: lol
Die etwas längere (allerdings habe ich den Artikel gestern auch nur überflogen und nutze gerade Kommentare des für seine Qualität bekannten[0] Heiseforums für Kontext) Zusammenfassung: 1) Twitter hat das "SMS zu Tweet"-Feature nach dem "Hack" deaktiviert[2], was diesen Weg und nicht die Kombination von erratenem Passwort und Ausnutzung von 2FA-Schwachstellen nahelegt. 2) Muraena[3] ist ein reverse-Proxy, der nach erfolgreicher Authentifizierung durch den Nutzer den Sessioncookie abgreift. "Phishing, bei dem der Nutzer seinen zweiten Faktor preisgibt" != "2FA an sich ist unsicher" (hoffentlich offensichtlich). Funktioniert außerdem wohl bei U2F/FIDO2 prinzipbedingt eh nicht. 3) NecroBrowser[4] kann die abgefangenen Sessioncookies nutzen, um dann automatisiert Aktionen auszuführen. Oh wow. Insgesamt also wirklich nichts interessantes - da war die Tatsache, dass Adobe einen open redirect betreibt[5] und dieser auch fleißig in freier Wildbahn ausgenutzt wird schon deutlich spannender und zeigt mal wieder, dass Werbung (und in diesem Fall insbesondere dilettantisch implementiertes Conversiontracking) ein viel größeres Problem darstellt, als man so annimmt. Gruß Markus [0] /s[1], falls das nicht offensichtlich ist. [1] <https://www.urbandictionary.com/define.php?term=%2Fs> [2] <https://www.google.com/search?q=twitter+jack+sms> [3] <https://github.com/muraenateam/muraena> [4] <https://github.com/muraenateam/necrobrowser> [5] <https://old.reddit.com/r/sysadmin/comments/d9ndnf/heres_a_phishing_url_to_give_you_nightmares/>