G.O.S.S.I.P 阅读推荐 2024-03-01 马奇诺防线总在龙年被攻破

今天已经是2024年3月1日了，但是2024年最新的研究成果似乎也会在历史中找到回声。在介绍今天推荐的研究工作之前，先让我们回顾一下12年前的一则旧闻：

https://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/

在这个2012年的故事中，《连线》杂志的作者Mat Honan在懵懵懂懂之中就被黑客把他的Google、Apple和Amazon账户一锅端了，你以为这是一起美国版的《孤注一掷》？错，人家可是专业IT人士，只不过黑客“魔高一丈”，利用了不同家公司之间的信息差来实施了这个攻击，具体是怎么做到的呢？我们在之前G.O.S.S.I.P的安全课程中，总结了一页PPT：

如果你能理解上述这一系列操作，那你在阅读今天这篇NDSS 2024论文Maginot Line: Assessing a New Cross-app Threat to PII-as-Factor Authentication in Chinese Mobile Apps的时候肯定不会遇到任何困难。在这篇论文中，作者重点关注了国内APP中广泛使用的一种登录认证方式——利用个人信息作为登录凭证（PII-as-Factor Authentication，PaFA），提出了一种新的（当然，我们可以认为这也是向2012年的攻击致敬）攻击向量：通过跨APP认证（类似OAuth）和收集不同APP应用暴露的个人信息，攻击者可从最基本的登录权限（如用短信验证码登录，获得基本的用户信息访问权限）开始，逐步获取更多用户信息，最后组合这些信息，完成某个目标APP的PaFA认证。

本文的关注点——Personally identifiable information（PII）是用户在登录、支付操作中需要提供的姓名、身份证号、银行卡号、手机号这一类个人信息，同时也是国内数据泄露的重灾区。目前基于PII的认证，也就是前面提到的PaFA，被广泛的应用于各类APP的登录和身份认证等敏感操作中：例如订票需要提供姓名，找回网银密码需要提供银行卡号，登录需要验证身份证号等等。虽然在国内PII的信息泄露已经很严重了，但是本文假定攻击者不是通过猜测或者社工获取这类信息，而是要从许多APP中去搜集不同的PII信息（每个APP可能只能提供一部分PII），然后将其组合起来使用（这也是上面提到的那个《连线》杂志文章中攻击的特点）。

作者发现，PII可能被多个APP同时使用，但是不同类型的APP的认证难度差别很大，例如支付宝、微信这类国民级的APP，或者银行、政务类APP可能会实施严格的校验（人脸等），而像一些普通的APP可能就只需要一个短信验证码就登录了。利用这一差异性，攻击者可以先尝试登录那些认证方式比较弱的APP，收集PII，进而尝试登录那些认证较强的APP。此外，由于很多APP都支持第三方单点登录（SSO），攻击者可以先登陆认证较弱的APP，然后把这个APP用来给自己背书，再去（SSO）登录其他认证较强的APP。因此，作者把这种绕过方式比作二战时期德军绕过“坚不可摧”的马奇诺防线（Maginot Line）的进攻。非常有趣的是，马奇诺防线被攻破的1940年，《连线》杂志文章中攻击发生的2012年，以及我们正身处的2024年，都是龙年+闰年。看来不管是战争还是信息安全都要信一点命理学！

下面是一个登录银联（UnionPay）的例子：

虽然这个攻击流程并不复杂，但是看到这里，大家可能会有一点点疑问。对，这个攻击有一个比较强的前提，是要收集到各种APP的短信验证码（SMS OTP），实际上尽管SMS OTP的安全风险已经在G.O.S.S.I.P和朋友们的研究工作（An Empirical Study of the SMS One-Time Password Authentication in Android Apps@ACSAC '19 和 On the Insecurity of SMS One-Time Password Messages against Local Attackers in Modern Mobile Devices【G.O.S.S.I.P 学术论文推荐 2021-03-31】)中进行了充分的讨论，但现实中能够获得每个APP的短信验证码，已经是一个非常非常高权限的攻击者才能做到的。

暂且不论SMS OTP的获取问题，我们先讨论一下其他的问题：在本文讨论的攻击中，第三方APP就像一个个gadget，攻击者利用gadget不断扩充已知的PII信息，然后把这些gadget串起来，构造出一条通向目标app的攻击路径，进而获取足够的信息进行认证。可是，现实世界中的APP实在是太多了，这个工作让人工来做太累，为了高效地挖掘利用链，对该威胁建立了威胁模型并实现了一个半自动化安全风险检测工具——MAGGIE，MAGGIE的架构如下图所示。

MAGGIE使用审计工具XHelper来遍历app的UI界面，提取出可用的PII信息，生成AuthR元数据。然后，MAGGIE使用NuSMV语言来建立了一个特定的状态机模型，并检查模型是否符合安全要求。对于不符合安全要求的模型，即视为发现了一个可被攻击者使用的攻击路径。

借助MAGGIE的风险，作者对234个国内APP进行了评估，发现27.8%的APP（65个）部署了PaFA, 并在其中75.4%（49个）的APP——包括支付宝、微信、银联这些流行和敏感的APP——中找出了共计3437条攻击路径，因此可以绕过它们部署的PaFA。

下图是作者通过MAGGIE发现的一个典型攻击案例。从短信验证码开始，攻击者最终可以获取支付宝、银联和QQ邮箱的权限：

作者还统计分析了APP里面保存（并因此暴露）PII信息的比例，以及这些PII信息被用于哪些操作认证中。

最后，作者还做了一个问卷调查，参与者被要求在234个应用中选出他们注册并使用过的APP，结果发现94.2%的参与者可被至少一条攻击路径（也就是某几个特定的APP组合）攻击。证明了该威胁的现实影响。

---

论文：https://www.ndss-symposium.org/wp-content/uploads/2024-241-paper.pdf

原文始发于微信公众号（安全研究GoSSIP）：G.O.S.S.I.P 阅读推荐 2024-03-01 马奇诺防线总在龙年被攻破