A autenticação de dois fatores (ou duas etapas; abreviação: 2fa) é um dos últimos refúgios que os usuários comuns se seguram quando falamos sobre segurança. O problema disso é que nem esse cantinho da proteção está mais tão seguro.

O pesquisador alertou para o usuário desativar o correio de voz e, se não puder fazer isso, definir um PIN de segurança o mais longo possível

De acordo com o pesquisador Martin Vigo, conversando com a Mashable durante o evento DEF COM, é possível resetar senhas de diversos tipos de contas utilizando o correio de voz em celulares. Entre essas contas, estamos falando e Google, Apple, Microsoft, WhatsApp e o famoso Signal, recomendado anteriormente por Edward Snowden.

Por meio de um script simples, Martin demonstrou como utilizar ataques de força bruta para obter a senha do correio de voz de um celular. Com esse acesso, um atacante pode obter o código de redefinição de senha de uma conta online e, consequentemente, o controle da própria conta.

Isso é feito, após o ataque de força bruta, por meio de ligações sucessivas de outros números, inundando o aparelho. Durante essa avalanche de ligações, um atacante pediria a mudança de senha e receberia o código 2FA. Em demonstração, Martin invadiu uma conta do PayPal e pediu a senha de autenticação por ligação automatizada.

De acordo com Martin, a sequência do ataque acontece dessa maneira:

  • 1. Ataque de força bruta no sistema de correio de voz, idealmente usando números de backdoor
  • 2. Certifique-se de que as chamadas vão diretamente para o correio de voz (chamada flooding, OSINT, HLR)
  • 3. Processo de redefinição de senha usando o recurso "Ligue para mim"
  • 4. Ouça a mensagem gravada contendo o código secreto

Obviamente, a descoberta já foi repassada para as empresas — porém, Martin deixou claro que não recebeu uma resposta satisfatória. Para você se proteger por agora, o pesquisador alertou para o usuário desativar o correio de voz e, se não puder fazer isso, definir um PIN de segurança o mais longo possível. Ele ainda notou que é melhor usar apps próprios para autenticação do que a solução baseada em SMS.

Cupons de desconto TecMundo: