本帖最后由 某公司安全产品研发 于 2016-8-1 11:44 编辑
作者简介:青青,千里目安全实验室团队成员,爱好各种黑技术,擅长漏洞PoC&Exp编写,智慧与美貌并存,才华与幽默并重。
小心二维码劫持,也许别人已经登录了你的微信!
你是否注意过,当你通过桌面应用登录微信、Line 和 WhatApps 时,只需要扫描一下二维码即可完成登录?其实这些应用都使用了一种快速的认证技术,称为 SQRL (Secure Quick Response Login),该技术通过 QR 码识别用户身份。
当前,盗取用户密码有很多方法,如键盘记录仪、中间人攻击和暴力攻击等。而 QR 码认证技术会随机生成密码,且不会向其他人透露,因此通过 QR 码登录一度被认为是极其安全的登录方式。
然而没有一种认证技术是绝对安全的。目前,黑客已经找到针对 QR 码认证技术的攻击方法:QRLJacking(Quick Response code Login Jacking,快速响应码登录劫持)。
千里百科 QR 码是二维条码的一种,其中,QR 是英文 “Quick Response” 的缩写,即快速响应。其存储了大量的信息如共享密钥或会话 Cookie。基于 QR 码认证的系统允许用户在不输入用户名和密码的情况下,快速登录自己的账户。
采用基于 QR 码认证系统的网站,在用户登录时,将在电脑屏幕上显示一个二维码。用户通过用手机上的 App 扫描该二维码,即可实现登录。
二维码劫持
Seekurity 公司的信息安全研究员和网络安全顾问 Mohamed Abdelbasset Elnouby 针对 QR 码认证设计了一种新的会话劫持方法:QRLJacking。对于允许通过 QR 码登录账户的服务,攻击者通过诱导受害者扫描伪造 QR 码,劫持受害者账户。此方法影响所有依赖 QR 码功能进行登录的应用。
攻击原理
QRLJacking的攻击原理如下图:
1. 攻击者初始化一个客户端的 QR 会话,并在一个钓鱼网站克隆用于登录的 QR 码。
2. 接着,攻击者诱导受害者访问该钓鱼网页。 3. 上当的受害者会通过特定 App 扫描恶意 QR 码。 4. 手机App 将发送密钥到目标服务完成认证。 5. 由此,攻击者劫持了受害者的账户,并可获得所有交互的受害者的数据。
总之,攻击者只需拥有一个 QR 码的刷新脚本和一个钓鱼网站,便可以成功进行 QRLJacking 攻击。
一次成功 QRLJacking 攻击能使攻击者实现账户劫持,并获得受害者的其他敏感信息,如准确 GPS 位置、设备的 IMEI 号码、SIM 卡的数据和客户端应用程序在登录过程中泄漏的其他信息。
现在,你还敢使用手机随便扫描身边的二维码吗?
注:本文由千里目安全实验室翻译整理,未经允许不得转载!
参考链接:http://thehackernews.com/2016/07/qrljacking-hacking-qr-code.html
|