События

Исследователи обнаружили способ обхода аутентификации через QR-код

Исследователи обнаружили способ обхода аутентификации через QR-код

ИБ-исследователь из Seekurity Inc. продемонстрировал, как можно скомпрометировать учетные записи пользователей сервисов, реализующих аутентификацию с помощью QR-кода. Новую технику эксперт назвал QRLJacking.

Многие сайты и приложения используют проект открытого стандарта для безопасного входа на web-сайт и аутентификации. Данная система на основе QR-кода позволяет пользователю заходить в свою учетную запись без ввода логина и пароля. Ресурсы с поддержкой этой системы отображают на своей странице QR-код, сканируя который пользователи попадают на свой аккаунт.

Подобный тип аутентификации считается весьма безопасным, однако специалисту из Seekurity Inc. удалось продемонстрировать его недостатки. Все, что необходимо злоумышленнику для успешной атаки, это убедить жертву в необходимости сканирования QR-кода.

Злоумышленник инициализирует клиентскую QR-сессию и копирует «вход с QR-кода» на фишинговую страницу. Затем атакующий отправляет страницу жертве. Если пользователь сканирует код с помощью определенного мобильного приложения, приложение отправляет секретный токен для завершения процесса аутентификации. В результате злоумышленник получает полный контроль над учетной записью жертвы.

Автор: Сергей Куприянов
29.07.2016 (13:39)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.