encl大部分移动身份验证器应用存在设计缺陷，易遭黑客攻击( 二 )_哪吒汽车|哪吒|ipo|周鸿祎|ota

OTP种子是许多OTP令牌的“独有秘方”。这种加密资产（连同计数器或时间）被输入到身份验证器的OTP算法中，以生成OTP代码。现在，黑客可利用OTP种子生成的与目标人群身份验证器生成的一样的OTP。换句话说，黑客实际上已经拥有了用户的数字化身份。

这是一种隐秘且复杂的攻击，因为目标身份验证应用甚至不需要运行，或者在数据不被篡改的情况下遭攻击。当被问及这一漏洞时，谷歌和苹果公司均表示，他们对用户的手机操作概不负责。苹果公司还特别提及，这个漏洞主要影响越狱的苹果手机，该公司认为越狱手机已经超出了官方允许使用的范围。这一立场与枪支制造商在处理枪杀死亡事件时所持的立场基本相似。

上述场景主要涉及OTP种子。一些身份验证器依赖于其它类型的加密资产，如公钥基础设施密钥(PKI)。遗憾的是，PKI也会遭类似方式的克隆或窃取。V-Key的白皮书详述了黑客成功运作的方式。

在急于快速增长和获取更多客户的过程中，由于过度信任，企业和电子政务应用的开发者实际上都忽略了这个重大的安全漏洞。但如果短信OTP甚至移动身份验证应用都可以被破解，设备和操作系统层也帮助甚微，那么普通用户到底该怎么办？消除信任缺口的最佳方式又是什么？

V-Key首席技术官Er表示，最佳解决方案是提供一种方法来识别系统中的每个端点——无论是应用、服务器，还是单个物联网设备。绑定到每个应用的安全元件，如V-Key的应用身份解决方案，可作为应用的身份和完整性证明，无需任何外来的身份验证器，也不会影响用户体验。

随着数字化以前所未有的速度扩张，支持身份验证和信任的能力变得至关重要。毕竟，只要破解一个移动身份验证应用，就能渗入企业或政府的数字服务，并可能导致整个系统瘫痪。由此造成的损失并不限于经济处罚和民事责任，还会导致品牌和声誉损失，有时这种损失根本无法弥补。

关于V-KEY

V-Key是一家软件型数字安全公司，其技术为面向数字身份管理、用户身份验证和授权的超高安全性解决方案提供支持。公司提供简单而安全的通用数字身份服务，将全球各地的人、组织和设备相连结，并深受星展银行(DBS)、华侨银行(OCBC)、大华银行(UOB)等客户和合作伙伴的信任。

【 encl大部分移动身份验证器应用存在设计缺陷，易遭黑客攻击】V-Key拥有国际专利的V-OS是全球首个虚拟安全元件，其先进的加密和网络安全保护功能符合全球标准（EAL 3+评级和FIPS 140-2），如此高的安全等级之前仅用于昂贵的硬件解决方案。