Kétfaktoros bizonytalanság
Lighthouse Reports legutóbbi, Two Factor Insecurity című vizsgálata kimutatta, hogy a világ nagy techcégei — köztük a Google, Amazon és Meta — napi milliárdnyi SMS-ben küldött egyszeri belépési kódot továbbítanak egy bővülő, átláthatatlan közvetítői hálózaton keresztül. Ezeket a kódokat nem közvetlenül a szolgáltatók, hanem független szereplők – mint például a Fink Telecom – továbbítják, akik alacsony költség mellett biztosítják a kézbesítést, de ezzel együtt hozzáférhetnek a felhasználók ideiglenes hitelesítő kódjaihoz.
A kutatók egy közel 100 millió SMS-adatcsomagot elemeztek, amelyek között több millió hitelesítési kód is szerepelt, olyan jelentős szolgáltatásokhoz kapcsolódva, mint a WhatsApp, Signal, Tinder, Viber, valamint kriptotárca‑ és bankfiókok kódjai. A vizsgálat rávilágított arra is, hogy ezek az sms-ek több ezer vállalat üzeneteit továbbítják ugyanazon közvetítőn keresztül — tehát az egyszeri kódok valójában harmadik felek kezében is lehetnek.
Az egyik közvetítőként azonosított vállalat, a svájci Fink Telecom, korábban már kapcsolódott hírszerzési műveletekhez és újságírók megfigyeléséhez. A cég cáfolta, hogy hozzáfér az üzenetek tartalmához, az elemzés szerint semmi sem akadályozná meg ebben. A kutatók szerint az SMS-alapú 2FA ma már nem megbízható, a kódok útja túl bonyolult és sebezhető – SIM-cserék, SS7-problémák vagy alkalmazottak visszaélése miatt. Kétfaktoros bizonytalanság. Az SMS helyett javasolt a biztonságosabb alternatívákat alkalmazása, hitelesítő alkalmazásokat (pl. Google Authenticator), push-alapú jóváhagyást (Duo, Microsoft Authenticator), vagy még hatékonyabban, hardveres biztonsági kulcsokat (pl. FIDO2 szabványú eszközök). Ezek a megoldások egyrészt nem függnek a mobilhálózattól, másrészt lényegesen ellenállóbbak a phishing, SIM-csere vagy közbeiktatott támadásokkal szemben.
