QRLJacking可以绕过任何QR登录系统

QRLJacking对于微信、WhatsApp、Line和其他使用扫码登录的应用都奏效。

qrcode_for_gh_af32a7c58306_430扫一扫关注MottoIN微信公众号

最近,埃及安全研究人员Mohamed Baset发现了一个新型的攻击,能够成功绕过SQRLs(Secure QR Logins),又称安全快速可靠登录。

qrljacking-can-bypass-any-qr-login-system-506818-4

QRLJacking使用钓鱼或者其他类似的诱骗技术进行社会工程学攻击,让用户在扫一扫时扫到错误的二维码。该攻击通过向受害者登录的网页请求二维码,并将修改二维码后的发送确认信息到攻击者的电脑上,此时,攻击者就可以修改这些登录信息,添加属于自己电脑的数据,然后将手机添加到默认登录的服务器,之后,攻击者就可以从电脑访问受害者的账号。

qrljacking-can-bypass-any-qr-login-system-506818-5

QRLJacking相当鸡肋

QRLJacking需要攻击者和受害者的同时在线,并且攻击者需要一定的技术水平才能修改显示在网页上的二维码。

qrljacking-can-bypass-any-qr-login-system-506818-3

近年来,SQRLs在近年来越来越来流行,在微信和其他应用非常广泛。Baset在Facebook上表示,他测试过微信、WhatsApp、Line微博、QQ、QQ邮箱等,登录都可以通过QRLJacking绕过,并且,QRLJacking在登录过程中窃取session并将数据发给攻击者。

SQRLs并没有想象中那么安全

QRLJacking虽然十分鸡肋,但并不等同于常规网络犯罪分子青睐的垃圾邮件或钓鱼攻击,因为它能够作为APT攻击的另一种方式。SQRLs采用一组混合的SSO(single-sign-on)单点登录和2FA(two-factor authentication)双因素认证进行认证管理,被人们认为是一种十分完美的登录方式,而Baset的发现也会让人们的观点有了改变。

当然如果用户注意到他们正要登录页面的URL,一个基于反钓鱼技术页面的URL就可以减轻其他任何形式的社会工程学攻击。

更多的细节可以参考 GitHub或者OWASP

*来源:softpedia,转载请注明来自MottoIN

原创文章,作者:SecNews,如若转载,请注明出处:http://www.mottoin.com/news/85686.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code