大部分移动身份验证器应用存在设计缺陷，易遭黑客攻击

新加坡--(BUSINESS WIRE)--(美国商业资讯)-- (美国商业资讯)--数字化发展正推高人们对强大数字化身份功能的需求。麦肯锡近期发布的一份调查¹报告显示，新冠肺炎疫情显著加快了全球的数字化进程。大部分受访者称，自己与用户或客户的互动中至少有80%是通过数字化方式进行的，而疫情前仅为58%。遗憾的是，各类组织机构也因此遭受了越来越多的网络攻击，攻击形式大多为勒索软件攻击以及网上账户和金融账户劫持。

这种状况反而促进了多重验证市场的增长。ResearchAndMarkets.com估计，2020年多重验证市场的规模高达106.4亿美元（到2026年，市场规模约增至283.4亿美元²）。对于银行、金融服务或电子政务应用而言，这意味着它们应采用某种双重验证技术(2FA)，通常包括通过短信发送的一次性密码(OTP)，以及由硬件令牌或移动身份验证器应用生成的代码。

遗憾的是，经证实，通过短信发送的OTP并不安全，容易被拦截及遭受网络钓鱼攻击。硬件令牌的安装成本高、使用不便，还需要定期更换。移动身份验证器被人们视为更为安全、方便的选项，许多身份验证器具有用于生成OTP代码的密钥，由手机内置的专业硬件（称为可信执行环境或TEE）保护。

但“更安全”不一定意味着“完美”，一项针对以往被人忽略的设计缺陷的最新研究进一步证实了这点。

最令人苦恼的是，如果身份验证器本身不可靠，那么数字服务就会被恶意软件操控，或被不法分子进行逆向工程操作，最终可能导致账户劫持、数据泄露、网络欺诈或更严重的后果。

作为全球首个虚拟安全元件的开发企业，新加坡软件型数字安全公司V-Key最近发布了一份白皮书，揭示大部分移动身份验证应用如何遭恶意软件攻破。不论手机提供何种硬件防护，这实际上都难以避免。

大部分身份验证应用采用密钥来生成代码，用于验证用户身份。这些应用就像是藏宝箱，只有这些密钥才能打开。如果这些密钥被盗，黑客就能利用“劫来的密钥”，假冒用户验证交易或签署文件。正基于此，大部分身份验证应用都竭力采用最安全的密钥存储技术。

众多开发人员认为，这就相当于手机的可信执行环境。在安卓手机中，这被称为StrongBox Keystore。在苹果手机中，这被称为iOS Secure Enclave（它有一个名为Keychain的配套软件，用于存储密码等加密数据）。

V-Key首席技术官Er Chiang Kai表示：“遗憾的是，它们的架构设计普遍存在缺陷，容易被黑客攻击。我们发现恶意软件可以用来获取目标人群的验证器密钥，便于黑客进行未经授权的交易或签署伪造文件。越狱手机、根设备或易受所谓‘特权升级漏洞’影响的机型尤其如此。我们把这种设计缺陷称为‘信任缺口’。”

这到底是如何运作的呢？试想一下，有人使用移动身份验证应用来生成2FA的OTP或签署数字文件。某天，他们发现一款有趣的手机游戏或加密货币咨询应用，并决定下载、安装和试用。

用户并没察觉这款游戏或加密货币咨询应用实际上是恶意软件，而此类恶意软件可以利用特权升级漏洞，攻破用户的移动身份验证应用。“特权升级”是一种利用操作系统或软件应用中的漏洞、设计缺陷或配置疏忽的行为，目的是获得通常受其它应用或用户保护的资源（如密钥）的访问权限。其造成的结果是，恶意软件获得了比预期更多的特权——并因此可以访问机密数据，进行未经授权的操作。

通常人们坚信安卓Keystore或iOS Secure Enclave保护密钥的能力，因此不会想到有人可能会非法入侵他们的身份验证器。然而，当他们玩新游戏或计算最新加密货币投资的回报时，不良行为者可能已经在窃取他们的密钥，更精确地说，窃取他们被称为“OTP种子”的身份验证器密钥。

OTP种子是许多OTP令牌的“独有秘方”。这种加密资产（连同计数器或时间）被输入到身份验证器的OTP算法中，以生成OTP代码。现在，黑客可利用OTP种子生成的与目标人群身份验证器生成的一样的OTP。换句话说，黑客实际上已经拥有了用户的数字化身份。

这是一种隐秘且复杂的攻击，因为目标身份验证应用甚至不需要运行，或者在数据不被篡改的情况下遭攻击。当被问及这一漏洞时，谷歌和苹果公司均表示，他们对用户的手机操作概不负责。苹果公司还特别提及，这个漏洞主要影响越狱的苹果手机，该公司认为越狱手机已经超出了官方允许使用的范围。这一立场与枪支制造商在处理枪杀死亡事件时所持的立场基本相似。

上述场景主要涉及OTP种子。一些身份验证器依赖于其它类型的加密资产，如公钥基础设施密钥(PKI)。遗憾的是，PKI也会遭类似方式的克隆或窃取。V-Key的白皮书详述了黑客成功运作的方式。

在急于快速增长和获取更多客户的过程中，由于过度信任，企业和电子政务应用的开发者实际上都忽略了这个重大的安全漏洞。但如果短信OTP甚至移动身份验证应用都可以被破解，设备和操作系统层也帮助甚微，那么普通用户到底该怎么办？消除信任缺口的最佳方式又是什么？

V-Key首席技术官Er表示，最佳解决方案是提供一种方法来识别系统中的每个端点——无论是应用、服务器，还是单个物联网设备。绑定到每个应用的安全元件，如V-Key的应用身份解决方案，可作为应用的身份和完整性证明，无需任何外来的身份验证器，也不会影响用户体验。

随着数字化以前所未有的速度扩张，支持身份验证和信任的能力变得至关重要。毕竟，只要破解一个移动身份验证应用，就能渗入企业或政府的数字服务，并可能导致整个系统瘫痪。由此造成的损失并不限于经济处罚和民事责任，还会导致品牌和声誉损失，有时这种损失根本无法弥补。

关于V-KEY

V-Key是一家软件型数字安全公司，其技术为面向数字身份管理、用户身份验证和授权的超高安全性解决方案提供支持。公司提供简单而安全的通用数字身份服务，将全球各地的人、组织和设备相连结，并深受星展银行(DBS)、华侨银行(OCBC)、大华银行(UOB)等客户和合作伙伴的信任。

V-Key拥有国际专利的V-OS是全球首个虚拟安全元件，其先进的加密和网络安全保护功能符合全球标准（EAL 3+评级和FIPS 140-2），如此高的安全等级之前仅用于昂贵的硬件解决方案。

¹ https://www.mckinsey.com/business-functions/strategy-and-corporate-finance/our-insights/how-covid-19-has-pushed-companies-over-the-technology-tipping-point-and-transformed-business-forever

² https://www.businesswire.com/news/home/20210311005630/en/28.34-Billion-Multi-factor-Authentication-Market---Global-Growth-Trends-and-Forecasts-2021-2026---ResearchAndMarkets.com

免责声明：本公告之原文版本乃官方授权版本。译文仅供方便了解之用，烦请参照原文，原文版本乃唯一具法律效力之版本。