Ученые из Амстердамского университета утверждают, что в системе двухфакторной авторизации есть слабые места, позволяющие обойти ее. Уязвимость была обнаружена еще в 2014 году. Тогда же ученые предупредили Google и другие крупные компании (в том числе финансовые учреждения), но были проигнорированы.
Проблема замалчивалась в связи с отсутствием доказательств ее реальной опасности. Однако Раджеш Кришнан Конот и Виктор ван дер Евен считают, что она заслуживает внимания.
Ученые сетуют на возможность синхронизации приложений и содержимого на разных устройствах. Боятся, что в магазинах приложений могут появиться вредоносные программы, позволяющие злоумышленникам получить полный контроль над всеми синхронизированными устройствами. В таком случае двухфакторная защита сходит на нет.
Чтобы такие приложения попали в магазины они должны обойти защиту App Store и Google Play, что уже становится нормой. Также они могут быть установлены в ручном режиме, если злоумышленник уже владеет учетной записью жертвы или имеет физический доступ к атакуемому устройству.
Поэтому ученые предлагают изменить процесс установки приложений, а именно добавить механизм раздельной активации для каждого устройства. В таком случае скомпрометировано будет одно устройство, а не все сразу.
