Хитрая реализация двухфакторной аутентификации «Яндекса», когда вместо ввода пароля и уникального кода пользователь сканирует QR-код с экрана настольного компьютера мобильным приложением, сыграла с компанией злую шутку.
Уже на следующий день после запуска двухфакторной аутентификации «Яндекса» оказалось, что для входа в чужой аккаунт злоумышленнику достаточно перехватить этот QR-код (т.е. аутентификация оказалась не совсем двухфакторной):
Для получения куки используется тот же ID, что закодирован в QR-коде.
Обратите внимание на параметр track_id в ссылке и такой же параметр в POST-запросе.
Это значит, что злоумышленник может подсмотреть из-за плеча пользователя его QR-код, достать из него ID сессии, и, притворившись браузером, выполнять часто-часто такой же запрос.
В комментариях к записи об уязвимости на «Хабре» пользователь, представляющийся сотрудником «Яндекса», обещает исправить проблему.
(добавлено в 16:25) Комментарий пресс-службы «Яндекса»:
Если стоять у человека за спиной, то можно читать его почту и без взлома. Ну или точно так же запомнить логин и пароль, и за несколько дней подобрать действующий код.
Этот способ было возможно воспроизвести только в лабораторных условиях. Необходимо было стоять за спиной, знать, что пользователь использует двухфакторную аутентификацию Яндекса и держать на готове специальный софт. В реальной жизни это вряд ли возможно.
Но мы запустили собственную технологию в режиме бета-тестирования, и готовы выплатить вознаграждение за найденный способ. Уже спустя 2 часа мы устранили возможность атаки таким нетривиальным образом.
