在線電話的用戶經(jīng)常難以分辨哪些號碼是要收費的,一位研究人員便從中發(fā)現(xiàn),可利用谷歌、微軟和Instagram的在線電話驗證系統(tǒng)賺取百萬美元。
很多網(wǎng)站和手機(jī)應(yīng)用都允許用戶將手機(jī)號關(guān)聯(lián)到賬號上。這可以用作雙因子身份驗證或賬號恢復(fù)和驗證的措施。很多此類系統(tǒng)都依賴于通過手機(jī)短信發(fā)送的驗證碼,但也提供呼叫用戶提供驗證碼的方式。
去年,名為阿恩·斯文頓的比利時IT安全顧問開始好奇,此類系統(tǒng)會不會測試用戶輸入的號碼是否附帶額外收費呢?于是,他對幾個流行服務(wù)進(jìn)行了測試。
他在9月先對Instagram進(jìn)行了測試,很快便發(fā)現(xiàn),如果通過短信發(fā)送的Instagram安全驗證碼沒在3分鐘內(nèi)輸入的話,該服務(wù)便會撥打用戶提供的收費號碼。他還發(fā)現(xiàn)了觸發(fā)此類Instagram呼叫的方法。Instagram會通過一個API(應(yīng)用編程接口)每隔30秒從加州拔出持續(xù)17秒的呼叫。
斯文頓設(shè)置了一個每分鐘收費0.06英鎊的號碼,通過濫用Instagram的系統(tǒng),成功在17分鐘內(nèi)轉(zhuǎn)到了1英鎊。通過注冊多個號碼和Instagram賬號,還可自動化該攻擊方式,每天賺取數(shù)千英鎊。
擁有的Instagram的Facebook起先還告訴斯文頓,說這不是漏洞,只是Instagram服務(wù)方式的一部分。該公司稱,該服務(wù)會監(jiān)測并封鎖濫用嘗試,這些混過監(jiān)測的呼叫是可承受的風(fēng)險。
之后,F(xiàn)acebook對某些呼叫限制進(jìn)行了微調(diào),修改了其帶外呼叫服務(wù),并決定獎勵斯文頓2000美元的漏洞獎金。
2月,該研究員向谷歌通報了類似的攻擊。谷歌基于電話的雙因子驗證服務(wù)同樣對濫用毫不設(shè)防,盡管濫用方法稍微有點麻煩。
斯文頓曾計算過,僅僅1個谷歌賬號+1個收費號碼,他就能在1天內(nèi)偷走12歐元。注冊多個賬號和多個收費號碼,自然可以倍增收入。
谷歌響應(yīng)稱,該漏洞緩解措施是存在的,只是因為電信業(yè)工作方式的關(guān)系,不可能全面封禁此類濫用。
微軟的 Office 365 試用注冊也要求電話驗證,這是最容易被濫用的。斯文頓找到了兩種方法來規(guī)避網(wǎng)站現(xiàn)有的呼叫頻率限制,理論上可以每天向同一個收費號碼撥打1300萬次以上。
另外,該服務(wù)還允許并發(fā)呼叫,每通呼叫持續(xù)23秒鐘。只需要一個每分鐘收費0.15歐的號碼,斯文頓便能在1分鐘之內(nèi)賺到1歐。
微軟稱,該漏洞實際影響到的,是公司呼叫服務(wù)使用的第三方合作伙伴。盡管如此,該廠商還是決定獎勵500美元,并努力修復(fù)該問題。
雖然Instagram、谷歌和微軟都消解了此類攻擊,其他在線服務(wù)和應(yīng)用仍有許多存在此類漏洞。斯文頓的研究已于7月15日發(fā)布了博客文章里,重點指出,無論公司還是消費者,都非常難以區(qū)分普通號碼和收費號碼。