Двухфакторную аутентификацию «Яндекса» сломали за один день? (+комментарий «Яндекса»)

в 11:00, , рубрики: взлом, кейсы, мобильные приложения, Текучка, яндекс, метки: , , , ,

Хитрая реализация двухфакторной аутентификации «Яндекса», когда вместо ввода пароля и уникального кода пользователь сканирует QR-код с экрана настольного компьютера мобильным приложением, сыграла с компанией злую шутку.

Уже на следующий день после запуска двухфакторной аутентификации «Яндекса» оказалось, что для входа в чужой аккаунт злоумышленнику достаточно перехватить этот QR-код (т.е. аутентификация оказалась не совсем двухфакторной):

Для получения куки используется тот же ID, что закодирован в QR-коде.
Обратите внимание на параметр track_id в ссылке и такой же параметр в POST-запросе.
Это значит, что злоумышленник может подсмотреть из-за плеча пользователя его QR-код, достать из него ID сессии, и, притворившись браузером, выполнять часто-часто такой же запрос.

В комментариях к записи об уязвимости на «Хабре» пользователь, представляющийся сотрудником «Яндекса», обещает исправить проблему.

(добавлено в 16:25) Комментарий пресс-службы «Яндекса»:

Если стоять у человека за спиной, то можно читать его почту и без взлома. Ну или точно так же запомнить логин и пароль, и за несколько дней подобрать действующий код.

Этот способ было возможно воспроизвести только в лабораторных условиях. Необходимо было стоять за спиной, знать, что пользователь использует двухфакторную аутентификацию Яндекса и держать на готове специальный софт. В реальной жизни это вряд ли возможно.

Но мы запустили собственную технологию в режиме бета-тестирования, и готовы выплатить вознаграждение за найденный способ. Уже спустя 2 часа мы устранили возможность атаки таким нетривиальным образом.

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js