برخی از لینکهای جادویی – یک روش ورود بدون رمز عبور که توسط تعداد فزایندهای از کیف پولهای رمزنگاری و برنامههای وب مورد استقبال قرار میگیرد – دارای آسیبپذیری مهمی هستند، طبق گفته استارتآپ کیف پولهای دیجیتال Dfns.
Dfns خدمات کیف پول ارائه میکند و توسط شرکتهایی مانند White Star Capital، Hashed، Susquehanna، Coinbase Ventures و ABN AMRO پشتیبانی میشود.
پیوند جادویی یک URL منحصر به فرد و یکبار مصرف است که توسط یک وب سایت یا برنامه برای احراز هویت کاربر بدون نیاز به وارد کردن رمز عبور ایجاد می شود. وقتی کاربر روی پیوند جادویی که توسط یک برنامه وب برای او ارسال شده کلیک می کند، هویت او را تأیید می کند و آنها را به حساب خود وارد می کند.
پیوندهای جادویی که در ابتدا توسط Slack و سایر برنامههای محبوب Web2 رهبری میشد، به یک روش ورود فزاینده رایج برای کیف پولهای رمزنگاری تبدیل شدهاند. به جای اینکه کاربران را ملزم به به خاطر سپردن یک عبارت کلیدی یا اولیه کنند، پیوندهای جادویی به عنوان راهی سریعتر، ساده تر و ایمن تر برای ورود به سیستم تبلیغ می شوند.
اما Dfns میگوید لینکهای جادویی – که میتوانند از اپلیکیشنی به اپلیکیشن دیگر متفاوت پیادهسازی شوند – اغلب نسبت به روشهای سنتی ورود به سیستم، امنیت کمتری دارند.
Dfns آسیبپذیریای را که کشف کرده است بهعنوان یک سوءاستفاده «روز صفر» طبقهبندی میکند – آنقدر شدید که اساساً پیوندهای جادویی را برای توسعهدهندگان سمی میکند. با توجه به فراگیر بودن پیوندهای جادویی فراتر از کیف پول های رمزنگاری (مثلاً توسط برخی از مدیران رمز عبور محبوب استفاده می شود)، Dfns در بیانیه ای گفت که این آسیب پذیری می تواند «خطر قابل توجهی برای بخش قابل توجهی از اقتصاد جهانی باشد. ”
با این حال، سرویسهایی که تحت تأثیر این آسیبپذیری قرار گرفتند، خطر آن را برای CoinDesk به میزان قابل توجهی کماهمیت کردند و آن را یک نوع حمله فیشینگ خوشخیمتر – البته همچنان نگرانکنندهتر نامیدند. علاوه بر این، چندین کیف پول محبوب شکایت داشتند که Dfns قبل از عجله برای انتشار یافتههای خود، حداقل سه روز به آنها اطلاع داده است، که بسیار کمتر از استانداردهای رایج پذیرفته شده برای افشای آسیبپذیری است. علاوه بر این، آنها افزودند که Dfns در تحقیر خدمات کیف پول بدون رمز عبور علاقه خاصی دارد. مدل کسب و کار Dfns شامل محافظت از رمزهای عبور رمزنگاری شده برای مشتریانش است.
در حالی که همه با توصیف Dfns از شدت یافتههای آن موافق نبودند، افرادی که با CoinDesk صحبت کردند خاطرنشان کردند که این یافتهها نشان میدهد که چگونه برخی از شرکتهای ارزهای دیجیتال وسواس رشد، راحتی را بر امنیت در تلاش برای جذب کاربران در اولویت قرار دادهاند.
«در اوایل دهه 2000، نامهای کاربری و رمزهای عبور دائماً در معرض خطر قرار میگرفتند. ژن یو یونگ، مدیر عامل Web3Auth به CoinDesk گفت، اما امروز ما احراز هویت دو مرحلهای، OTP (گذرواژههای یکبار مصرف) و سایر روشهای ورود امنتر را داریم. (Web3Auth یک سرویس ورود بدون رمز عبور ارائه می دهد که در برابر سوء استفاده کشف شده توسط Dfns آسیب پذیر بود.) صنعت کریپتو “هنوز از عبارات اولیه تک عاملی استفاده می کند – احراز هویت تک عاملی.”
ربودن لینک های جادویی
دکتر سامر فایسال، افسر ارشد امنیت اطلاعات Dfns (CISO) در نمایشی بر روی Zoom نشان داد که چگونه یک هکر می تواند خدمات کیف پول رمزنگاری محبوب «لینک جادویی» را تنها با استفاده از آدرس ایمیل کاربر ربوده باشد.
Faysall با استفاده از یک کیف پول رایتر جدید CoinDesk به عنوان یک ساختگی آزمایشی، نشان داد که چگونه یک هکر می تواند پیوند جادویی را ارسال کند که به نظر می رسد (و به نوعی واقعی است). این پیوند از آدرس ایمیل واقعی سرویس کیف پول دریافت شده و با کلیک بر روی آن به کیف پول رایتر CoinDesk وارد شده است.
اما وقتی فایسال صفحه نمایش خود را به اشتراک گذاشت، نشان داد که با کلیک بر روی لینک، CoinDesk به طور ناخواسته به او دسترسی کامل به کیف پول خود داده است.
با دو وکیل Dnfs در خط (ظاهراً برای تأیید این واقعیت که Dfns در واقع CoinDesk را هک نمی کرد)، فایسال موافقت کرد که حمله خود را به یکی دیگر از خدمات کیف پول رمزنگاری بدون رمز عبور تکرار کند.
در هر دو نمایش خود، Fayssal – نه CoinDesk – درخواست ورود به سیستم را آغاز کرد که باعث ایجاد یک ایمیل پیوند جادویی شد. اگر کاربر یک ایمیل ورود به سیستم را بدون تلاش برای ورود به یک سرویس دریافت کند، این معمولاً یک پرچم قرمز فیشینگ است – حتی اگر ایمیل کاملاً معتبر به نظر برسد.
فایسال توضیح نداد که چگونه حملات را انجام داد، و به CoinDesk گفت که نمیخواهد روشهایش به دست اشتباهی برسد. با این حال، او گفت که شخصاً با بیش از ده ها شرکت که معتقد است در برابر این سوء استفاده آسیب پذیر هستند تماس گرفته است و پیشنهاد کمک به آنها در اجرای پادمان ها را داده است.
فایسال گفت: در مورد کاربران کیف پولهای پیوند جادویی، «توصیهای که به کاربران میکنم این است که در صورت امکان، احراز هویت دو مرحلهای را در اسرع وقت اجرا کنند».
CoinDesk با سه شرکت رمزنگاری که Dfns آنها را به عنوان کاربران پیوندهای جادویی معرفی کرده است صحبت کرد. همه آنها تأیید کردند که یافتههای فایسال معتبر است، اما همه آنها گفتند که Dfns با نامیدن این حمله “روز صفر” دست خود را بیش از حد بازی میکند.
Magic Labs، یکی از شرکتهایی که Dfns در نسخه ی نمایشی خود استفاده کرد، یک روز بعد گفت که دیگر آسیبپذیر نیست.
شان لی، مدیر عامل Magic Labs گفت: “Magic Labs دیگر آسیب پذیری در برابر این نوع فیشینگ ندارد و طبق اطلاعات ما، هیچ یک از کاربران نهایی ما تحت تأثیر قرار نگرفته اند.” “ما دائما در حال ارزیابی و بهبود امنیت پلت فرم خود هستیم.”