- Чем проще, тем опаснее?
- Magic links- это удобно, считают многие сервисы
- Демонстрация уязвимости волшебных ссылок
- Нулевой день или фишинговая атака?
По данным стартапа крипто-кошелька Dfns, некоторые magic links – метод входа без пароля, используемый растущим числом крипто-кошельков и веб-приложений — имеют критическую уязвимость. Заинтересованные лица обвинили компанию в предвзятом отношении, так как Dfns занимается защитой кошельков и поддерживается такими фирмами, как White Star Capital, Hashed, Susquehanna, Coinbase Ventures и ABN AMRO.
Чем проще, тем опаснее?
Волшебная ссылка (magic links) — это уникальный одноразовый URL-адрес, который генерируется веб-сайтом или приложением для аутентификации пользователя, не требуя от него ввода пароля. Когда пользователь нажимает на волшебную ссылку, отправленную ему веб-приложением, оно проверяет их личность и регистрирует их в своей учетной записи.
Изначально созданные Slack и быстро принятые другими популярными приложениями Web2, magic links становятся все более распространенным методом входа в крипто-кошельки. Вместо того, чтобы требовать от пользователей запоминания сложной ключевой или исходной фразы, magic links продвигается как более быстрый, простой и безопасный способ входа в систему.
Но Dfns говорит, что волшебные ссылки, которые могут быть реализованы по–разному, часто гораздо менее безопасны, чем более традиционные методы входа.
Dfns классифицирует обнаруженную уязвимость как эксплойт «нулевого дня» — настолько серьезный, что, по сути, делает magic links токсичными для разработчиков. Учитывая повсеместное распространение magic links не только для крипто-кошельков (например, они используются некоторыми популярными менеджерами паролей), Dfns заявила в заявлении, что уязвимость может «представлять значительный риск для значительной части мировой экономики».
Magic links- это удобно, считают многие сервисы
Однако сервисы, на которые повлияла уязвимость, значительно преуменьшают риск, называя ее более щадящей, хотя и все еще вызывающей беспокойство разновидностью фишинг–атаки. Более того, несколько популярных кошельков жаловались, что Dfns уведомил их всего за три дня, прежде чем поспешить опубликовать свои выводы, что значительно ниже общепринятых стандартов раскрытия уязвимостей. Более того, они добавили, что Dfns заинтересована в пренебрежении услугами кошельков без паролей: бизнес-модель Dfns предполагает защиту крипто-паролей для своих клиентов.
Хотя не все согласились с оценкой Dfns серьезности своих выводов, многие соглашаются, что некоторые одержимые ростом криптовалютные компании отдают предпочтение удобству, а не безопасности, стремясь привлечь пользователей.
«Еще в начале 2000-х годов имена пользователей и пароли постоянно подвергались риску. Но сегодня у нас есть двухфакторная аутентификация, OTP (одноразовые пароли) и другие более безопасные методы входа», сказал генеральный директор Web3Auth Чжэнь Ю Йонг. (Web3Auth предлагает службу входа без пароля, которая была уязвима для эксплойта, обнаруженного Dfns.) Криптоиндустрия «все еще использует однофакторные начальные фразы – однофакторную аутентификацию».
Демонстрация уязвимости волшебных ссылок
В демонстрации на Zoom директор по информационной безопасности Dfns (CISO) доктор Самер Фейссал показал, как хакер может взломать популярные сервисы крипто-кошельков «magic link», используя только адрес электронной почты пользователя.
Используя новый кошелек CoinDesk burner в качестве тестового, Фейсал продемонстрировал, как хакер может отправить волшебную ссылку, которая выглядит (и в некотором смысле) подлинной. Ссылка пришла с реального адреса электронной почты службы кошельков, и, нажав на нее, произошел вход в кошелек CoinDesk burner.
Но когда Фейссал поделился своим экраном, он показал, что, нажав на ссылку, CoinDesk непреднамеренно предоставил ему полный доступ к своему кошельку.
С двумя юристами Dnfs на линии (по-видимому, чтобы подтвердить тот факт, что Dfns на самом деле не взламывал CoinDesk), Фейссал согласился повторить свою атаку на другой сервис крипто-кошелька без пароля.
В обеих своих демонстрациях Фейссал, а не CoinDesk, инициировал запрос на вход, который вызвал электронное письмо magic link. Если пользователь получает электронное письмо для входа в систему, фактически не пытаясь войти в службу, это, как правило, фишинговый красный флаг, даже если электронное письмо выглядит полностью аутентичным.
Фейссал не объяснил, как он осуществил атаки, сказав CoinDesk, что он не хотел, чтобы его методы попали в чужие руки. Однако он сказал, что лично обратился к более чем дюжине компаний, которые, по его мнению, уязвимы для эксплойта, и предложил помочь им внедрить меры предосторожности.
Что касается пользователей кошельков Magic link, «совет, который я бы дал пользователям, заключается в том, чтобы внедрить двухфакторную аутентификацию как можно скорее, если это возможно», — сказал Фейссал.
CoinDesk поговорил с тремя криптокомпаниями, которые Dfns идентифицировал как пользователей magic links. Все они подтвердили, что выводы Фейсала были достоверными, но все они заявили, что Dfns переигрывает, называя атаку «нулевым днем».
Magic Labs, одна из компаний, которую Dfns использовала в своей демонстрации, заявила днем позже, что она больше не уязвима.
«Magic Labs больше не подвержена этому типу фишинга, и, насколько нам известно, ни один из наших конечных пользователей не пострадал», — сказал Шон Ли, генеральный директор Magic Labs. «Мы постоянно оцениваем и улучшаем безопасность нашей платформы».
Нулевой день или фишинговая атака?
Dfns продемонстрировали уязвимости magic link еще на одном кошельке — Web3Auth. По мнению Йонга из Web3Auth, уязвимость magic link не квалифицируется как более серьезный эксплойт «нулевого дня», потому что пользователю необходимо нажать на взломанную волшебную ссылку, чтобы она заработала.
«Мы рассматриваем это как фишинговую атаку», — сказал Йонг. «Это похоже на фишинговую атаку на MetaMask, где есть dapp [децентрализованное приложение], которое отправляет вредоносную транзакцию, пользователь одобряет ее, затем пользователь может отправить свои токены на вредоносный адрес или что-то в этом роде».
Атака magic link завершается неудачей, если пользователь пропускает взломанное электронное письмо, нажимает на ссылку после истечения срока ее действия или считает подозрительным, что ему была отправлена волшебная ссылка, когда он не пытался войти в систему. (Что касается этого последнего пункта, Фейссал говорит, что злоумышленник может стратегически рассчитать время, когда ссылка появится, когда пользователь, как ожидается, войдет в целевую службу).
Йонг сказал CoinDesk, что у Web3Auth есть меры предосторожности для предотвращения фишинга, хотя он признал, что этих мер предосторожности недостаточно для защиты от уязвимости Фейссала.
Однако, к чести Web3Auth, в нижней части электронных писем Magic link есть текст, указывающий IP-адрес, который инициировал попытку входа. В демонстрации Фейсала его взломанная волшебная ссылка была получена с другого IP-адреса, отличного от адреса CoinDesk. Но эту подсказку легко пропустить, так как электронное письмо пришло непосредственно с Web3Auth.
Йонг сообщил, что Web3Auth внедрит дополнительные методы защиты от фишинга в свете исследований Фейссала.
Sequence, платформа разработки web3, которая предлагает крипто-кошелек без пароля, сообщила CoinDesk, что она внедрила меры предосторожности, которые сделали обнаруженную Dfns уязвимость неэффективной. «Я не думаю, что для Sequence все так плохо», — сказал Питер Килтика, генеральный директор Horizon, компании, которая создает Sequence. «Но вы знаете, да, для некоторых других продуктов, я думаю, они могли бы принять дополнительные меры».
Питер обвинил Dfns в преувеличении серьезности уязвимости Magic link как «маркетингового трюка».