encl大部分移动身份验证器应用存在设计缺陷，易遭黑客攻击_哪吒汽车|哪吒|ipo|周鸿祎|ota

最新研究显示，即使拥有硬件安全防护，大部分移动身份验证应用依然存在重大漏洞

新加坡--(美国商业资讯)--数字化发展正推高人们对强大数字化身份功能的需求。麦肯锡近期发布的一份调查1报告显示，新冠肺炎疫情显著加快了全球的数字化进程。大部分受访者称，自己与用户或客户的互动中至少有80%是通过数字化方式进行的，而疫情前仅为58%。遗憾的是，各类组织机构也因此遭受了越来越多的网络攻击，攻击形式大多为勒索软件攻击以及网上账户和金融账户劫持。

这种状况反而促进了多重验证市场的增长。ResearchAndMarkets.com估计，2020年多重验证市场的规模高达106.4亿美元（到2026年，市场规模约增至283.4亿美元2）。对于银行、金融服务或电子政务应用而言，这意味着它们应采用某种双重验证技术(2FA)，通常包括通过短信发送的一次性密码(OTP)，以及由硬件令牌或移动身份验证器应用生成的代码。

遗憾的是，经证实，通过短信发送的OTP并不安全，容易被拦截及遭受网络钓鱼攻击。硬件令牌的安装成本高、使用不便，还需要定期更换。移动身份验证器被人们视为更为安全、方便的选项，许多身份验证器具有用于生成OTP代码的密钥，由手机内置的专业硬件（称为可信执行环境或TEE）保护。

但“更安全”不一定意味着“完美”，一项针对以往被人忽略的设计缺陷的最新研究进一步证实了这点。

最令人苦恼的是，如果身份验证器本身不可靠，那么数字服务就会被恶意软件操控，或被不法分子进行逆向工程操作，最终可能导致账户劫持、数据泄露、网络欺诈或更严重的后果。

作为全球首个虚拟安全元件的开发企业，新加坡软件型数字安全公司V-Key最近发布了一份白皮书，揭示大部分移动身份验证应用如何遭恶意软件攻破。不论手机提供何种硬件防护，这实际上都难以避免。

大部分身份验证应用采用密钥来生成代码，用于验证用户身份。这些应用就像是藏宝箱，只有这些密钥才能打开。如果这些密钥被盗，黑客就能利用“劫来的密钥”，假冒用户验证交易或签署文件。正基于此，大部分身份验证应用都竭力采用最安全的密钥存储技术。

众多开发人员认为，这就相当于手机的可信执行环境。在安卓手机中，这被称为StrongBox Keystore。在苹果手机中，这被称为iOS Secure Enclave（它有一个名为Keychain的配套软件，用于存储密码等加密数据）。

V-Key首席技术官Er Chiang Kai表示：“遗憾的是，它们的架构设计普遍存在缺陷，容易被黑客攻击。我们发现恶意软件可以用来获取目标人群的验证器密钥，便于黑客进行未经授权的交易或签署伪造文件。越狱手机、根设备或易受所谓‘特权升级漏洞’影响的机型尤其如此。我们把这种设计缺陷称为‘信任缺口’。”

这到底是如何运作的呢？试想一下，有人使用移动身份验证应用来生成2FA的OTP或签署数字文件。某天，他们发现一款有趣的手机游戏或加密货币咨询应用，并决定下载、安装和试用。

用户并没察觉这款游戏或加密货币咨询应用实际上是恶意软件，而此类恶意软件可以利用特权升级漏洞，攻破用户的移动身份验证应用。“特权升级”是一种利用操作系统或软件应用中的漏洞、设计缺陷或配置疏忽的行为，目的是获得通常受其它应用或用户保护的资源（如密钥）的访问权限。其造成的结果是，恶意软件获得了比预期更多的特权——并因此可以访问机密数据，进行未经授权的操作。

通常人们坚信安卓Keystore或iOSSecure Enclave保护密钥的能力，因此不会想到有人可能会非法入侵他们的身份验证器。然而，当他们玩新游戏或计算最新加密货币投资的回报时，不良行为者可能已经在窃取他们的密钥，更精确地说，窃取他们被称为“OTP种子”的身份验证器密钥。