在线电话的用户经常难以分辨哪些号码是要收费的,一位研究人员便从中发现,可利用谷歌、微软和Instagram的在线电话验证系统赚取百万美元。
很多网站和手机应用都允许用户将手机号关联到账号上。这可以用作双因子身份验证或账号恢复和验证的措施。很多此类系统都依赖于通过手机短信发送的验证码,但也提供呼叫用户提供验证码的方式。
去年,名为阿恩·斯文顿的比利时IT安全顾问开始好奇,此类系统会不会测试用户输入的号码是否附带额外收费呢?于是,他对几个流行服务进行了测试。
他在9月先对Instagram进行了测试,很快便发现,如果通过短信发送的Instagram安全验证码没在3分钟内输入的话,该服务便会拨打用户提供的收费号码。他还发现了触发此类Instagram呼叫的方法。Instagram会通过一个API(应用编程接口)每隔30秒从加州拔出持续17秒的呼叫。
斯文顿设置了一个每分钟收费0.06英镑的号码,通过滥用Instagram的系统,成功在17分钟内转到了1英镑。通过注册多个号码和Instagram账号,还可自动化该攻击方式,每天赚取数千英镑。
拥有的Instagram的Facebook起先还告诉斯文顿,说这不是漏洞,只是Instagram服务方式的一部分。该公司称,该服务会监测并*滥用尝试,这些混过监测的呼叫是可承受的风险。
之后,Facebook对某些呼叫限制进行了微调,修改了其带外呼叫服务,并决定奖励斯文顿2000美元的漏洞奖金。
2月,该研究员向谷歌通报了类似的攻击。谷歌基于电话的双因子验证服务同样对滥用毫不设防,尽管滥用方法稍微有点麻烦。
斯文顿曾计算过,仅仅1个谷歌账号+1个收费号码,他就能在1天内偷走12欧元。注册多个账号和多个收费号码,自然可以倍增收入。
谷歌响应称,该漏洞缓解措施是存在的,只是因为电信业工作方式的关系,不可能全面封禁此类滥用。
微软的 Office 365 试用注册也要求电话验证,这是最容易被滥用的。斯文顿找到了两种方法来规避网站现有的呼叫频率限制,理论上可以每天向同一个收费号码拨打1300万次以上。
另外,该服务还允许并发呼叫,每通呼叫持续23秒钟。只需要一个每分钟收费0.15欧的号码,斯文顿便能在1分钟之内赚到1欧。
微软称,该漏洞实际影响到的,是公司呼叫服务使用的第三方合作伙伴。尽管如此,该厂商还是决定奖励500美元,并努力修复该问题。
虽然Instagram、谷歌和微软都消解了此类攻击,其他在线服务和应用仍有许多存在此类漏洞。斯文顿的研究已于7月15日发布了博客文章里,重点指出,无论公司还是消费者,都非常难以区分普通号码和收费号码。
====================================分割线================================
本文转自d1net(转载)