繁体 English 中英

iOS App中通过短信绑定设备安全攻击

[英]Device Binding Security Attack through SMS in iOS App

原文 2022-09-15 10:54:57 6 1 ios/ swift/ objective-c/ sms/ snoop

我们为银行创建了一个应用程序。 在该应用程序中，我们通过短信与电话号码和设备详细信息进行设备绑定。

现在，攻击者以某种方式使用短信转发技术将自己的设备与受害者的电话号码绑定。

我们不确定攻击者使用受害者电话号码绑定自己设备的作案手法。

我们认为攻击者在发送短信并将相同的短信转发给受害者后，可能会使用 iMessage 从 App 同步短信。

注意：在我们的应用程序中，我们使用 MFMessageComposeViewController class 向银行发送设备绑定消息。

我们正在寻找解决方案。 因此，攻击者无法使用/复制应用程序中创建的短信中的文本消息以进行设备绑定并转发给受害者。

1 个解决方案

正如评论中所指出的，您根本无法使用 SMS 进行注册或为交易/登录提供 OTP，因为攻击向量太多。 以下将是更安全的注册：

• 在用户的网上银行资料中使用限时二维码或一次性代码，如果他们没有网上银行，则在分行使用。 推荐这种方法。
• 通过安全问题和通过电子邮件发送给他们的密码来完成应用内注册。 如果没有 email，则再次仅在分支中。

注册完成后，您应该对 OTP 等使用推送通知而不是 SMS。还建议不要在推送通知本身中包含 OTP，而只是让推送通知提示应用程序通过 https 请求 OTP。

将iOS应用调试到iOS设备时如何修复安全错误

[英]How to fix security error when debugging iOS app to iOS Device

通过应用程序禁用iOS设备的数据连接

[英]Disable data connection of iOS device through app

ios9应用程序传输安全性问题在模拟器和设备中有所不同

[英]ios9 app transport security issues different in simulator and device

我需要苹果MFI程序才能通过USB电缆访问IOS设备的短信吗？

[英]Do I need apple MFI program to access sms of IOS device through usb cable?

保护iOS应用安全再次抵御MITM攻击

[英]Securing iOS app againts MITM Attack

针对iOS应用内购买的攻击保护

[英]Attack Protection for iOS In-App Purchases

UIWebView iOS无法显示Yahoo确认短信安全性

[英]UIWebView iOS not display Yahoo confirm SMS Security

iOS：已退出的应用无法通过安全API访问钥匙串

[英]iOS: Resigned app cannot access keychain through security API

通过MessageUI在应用程序中发送短信

[英]Sending a SMS in app through MessageUI

在iOS应用中使用Body SMS Twilio

[英]Body SMS Twilio in app iOS

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 将iOS应用调试到iOS设备时如何修复安全错误通过应用程序禁用iOS设备的数据连接 ios9应用程序传输安全性问题在模拟器和设备中有所不同我需要苹果MFI程序才能通过USB电缆访问IOS设备的短信吗？保护iOS应用安全再次抵御MITM攻击针对iOS应用内购买的攻击保护 UIWebView iOS无法显示Yahoo确认短信安全性 iOS：已退出的应用无法通过安全API访问钥匙串通过MessageUI在应用程序中发送短信在iOS应用中使用Body SMS Twilio

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM