比利时安全信息研究员Arne Swinnen报告在Instagram(Facebook),谷歌和微软产品中,发现了一个共同的利用2FA验证机制缺陷的验证服务的漏洞。这些公司部署的2FA验证机制 可通过短信的形式发送短验证码,同时也可以使用人工语音通话读出验证码的形式验证,Swinnen发现的漏洞则利用了后一种验证方式的缺陷。
这些语音通话通常将那些特定用户的电话号码和用户账号紧密互绑,Swinnen理论上可以利用此漏洞向这些服务的用户账户发动攻击,在实验中他发现Instagram,谷歌和微软Office 365账户使用相同的验证机制因此攻击可以在三方账户内同时奏效。
随后他将任一账户与高级电话号码绑定,而非普通电话号码,当三个账号服务中任一向用户发送访问验证码时,由于使用高级号码的SMS可通过注册通话并向来电公司收取话费。攻击者可以通过创建虚假的Instagram账号、谷歌或微软账号,并捆绑至一个高级电话服务(premium phone service)。通过互相指向和捆绑获取话费利润,使用自动脚本提高效率后,研究员估计以为攻击者可以为所有账号同时大量地发送2FA验证请求,根据合法的话费收取获得大量的利润。他预计如果使用得当,攻击者一年可通过此项攻击从Instagram服务中获得206.6万英镑的收入,谷歌43.2万英镑,微软66.0万英镑。
研究人员在博客中阐述了漏洞的细节,并向微软谷歌和facebook报告了相应的漏洞,获得了Facebook 2000美元的奖励,微软500美元的奖励,谷歌更是在公司的名人堂中刻上了他的名字。