记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

利用谷歌、微软和Instagram的在线电话验证漏洞赚取数百万美元

2016-07-21 03:35

在线电话的用户经常难以分辨哪些号码是要收费的,一位研究人员便从中发现,可利用谷歌、微软和Instagram的在线电话验证系统赚取百万美元。

3

很多网站和手机应用都允许用户将手机号关联到账号上。这可以用作双因子身份验证或账号恢复和验证的措施。很多此类系统都依赖于通过手机短信发送的验证码,但也提供呼叫用户提供验证码的方式。

去年,名为阿恩·斯文顿的比利时IT安全顾问开始好奇,此类系统会不会测试用户输入的号码是否附带额外收费呢?于是,他对几个流行服务进行了测试。

他在9月先对Instagram进行了测试,很快便发现,如果通过短信发送的Instagram安全验证码没在3分钟内输入的话,该服务便会拨打用户提供的收费号码。他还发现了触发此类Instagram呼叫的方法。Instagram会通过一个API(应用编程接口)每隔30秒从加州拔出持续17秒的呼叫。

斯文顿设置了一个每分钟收费0.06英镑的号码,通过滥用Instagram的系统,成功在17分钟内转到了1英镑。通过注册多个号码和Instagram账号,还可自动化该攻击方式,每天赚取数千英镑。

拥有的Instagram的Facebook起先还告诉斯文顿,说这不是漏洞,只是Instagram服务方式的一部分。该公司称,该服务会监测并封锁滥用尝试,这些混过监测的呼叫是可承受的风险。

之后,Facebook对某些呼叫限制进行了微调,修改了其带外呼叫服务,并决定奖励斯文顿2000美元的漏洞奖金。

2月,该研究员向谷歌通报了类似的攻击。谷歌基于电话的双因子验证服务同样对滥用毫不设防,尽管滥用方法稍微有点麻烦。

斯文顿曾计算过,仅仅1个谷歌账号+1个收费号码,他就能在1天内偷走12欧元。注册多个账号和多个收费号码,自然可以倍增收入。

谷歌响应称,该漏洞缓解措施是存在的,只是因为电信业工作方式的关系,不可能全面封禁此类滥用。

微软的 Office 365 试用注册也要求电话验证,这是最容易被滥用的。斯文顿找到了两种方法来规避网站现有的呼叫频率限制,理论上可以每天向同一个收费号码拨打1300万次以上。

另外,该服务还允许并发呼叫,每通呼叫持续23秒钟。只需要一个每分钟收费0.15欧的号码,斯文顿便能在1分钟之内赚到1欧。

微软称,该漏洞实际影响到的,是公司呼叫服务使用的第三方合作伙伴。尽管如此,该厂商还是决定奖励500美元,并努力修复该问题。

虽然Instagram、谷歌和微软都消解了此类攻击,其他在线服务和应用仍有许多存在此类漏洞。斯文顿的研究已于7月15日发布了博客文章里,重点指出,无论公司还是消费者,都非常难以区分普通号码和收费号码。

 

 

知识来源: www.aqniu.com/threat-alert/17846.html

阅读:103643 | 评论:0 | 标签:威胁情报 facebook Instagram 微软 谷歌 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“利用谷歌、微软和Instagram的在线电话验证漏洞赚取数百万美元”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云