簡體 English 中英

iOS App中通過短信綁定設備安全攻擊

[英]Device Binding Security Attack through SMS in iOS App

原文 2022-09-15 10:54:57 5 1 ios/ swift/ objective-c/ sms/ snoop

我們為銀行創建了一個應用程序。 在該應用程序中，我們通過短信與電話號碼和設備詳細信息進行設備綁定。

現在，攻擊者以某種方式使用短信轉發技術將自己的設備與受害者的電話號碼綁定。

我們不確定攻擊者使用受害者電話號碼綁定自己設備的作案手法。

我們認為攻擊者在發送短信並將相同的短信轉發給受害者后，可能會使用 iMessage 從 App 同步短信。

注意：在我們的應用程序中，我們使用 MFMessageComposeViewController class 向銀行發送設備綁定消息。

我們正在尋找解決方案。 因此，攻擊者無法使用/復制應用程序中創建的短信中的文本消息以進行設備綁定並轉發給受害者。

1 個解決方案

正如評論中所指出的，您根本無法使用 SMS 進行注冊或為交易/登錄提供 OTP，因為攻擊向量太多。 以下將是更安全的注冊：

• 在用戶的網上銀行資料中使用限時二維碼或一次性代碼，如果他們沒有網上銀行，則在分行使用。 推薦這種方法。
• 通過安全問題和通過電子郵件發送給他們的密碼來完成應用內注冊。 如果沒有 email，則再次僅在分支中。

注冊完成后，您應該對 OTP 等使用推送通知而不是 SMS。還建議不要在推送通知本身中包含 OTP，而只是讓推送通知提示應用程序通過 https 請求 OTP。

將iOS應用調試到iOS設備時如何修復安全錯誤

[英]How to fix security error when debugging iOS app to iOS Device

通過應用程序禁用iOS設備的數據連接

[英]Disable data connection of iOS device through app

ios9應用程序傳輸安全性問題在模擬器和設備中有所不同

[英]ios9 app transport security issues different in simulator and device

我需要蘋果MFI程序才能通過USB電纜訪問IOS設備的短信嗎？

[英]Do I need apple MFI program to access sms of IOS device through usb cable?

保護iOS應用安全再次抵御MITM攻擊

[英]Securing iOS app againts MITM Attack

針對iOS應用內購買的攻擊保護

[英]Attack Protection for iOS In-App Purchases

UIWebView iOS無法顯示Yahoo確認短信安全性

[英]UIWebView iOS not display Yahoo confirm SMS Security

iOS：已退出的應用無法通過安全API訪問鑰匙串

[英]iOS: Resigned app cannot access keychain through security API

通過MessageUI在應用程序中發送短信

[英]Sending a SMS in app through MessageUI

在iOS應用中使用Body SMS Twilio

[英]Body SMS Twilio in app iOS

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 將iOS應用調試到iOS設備時如何修復安全錯誤通過應用程序禁用iOS設備的數據連接 ios9應用程序傳輸安全性問題在模擬器和設備中有所不同我需要蘋果MFI程序才能通過USB電纜訪問IOS設備的短信嗎？保護iOS應用安全再次抵御MITM攻擊針對iOS應用內購買的攻擊保護 UIWebView iOS無法顯示Yahoo確認短信安全性 iOS：已退出的應用無法通過安全API訪問鑰匙串通過MessageUI在應用程序中發送短信在iOS應用中使用Body SMS Twilio

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM