دور زدن احراز هویت دومرحله‌ای پِی‌پال

شاید نگاه به خطای بزرگ امنیتی که در سازو‌کار احراز هویت دومرحله‌ای پی‌پال وجود دارد، این سوال را در ذهن متخصصان ایجاد می‌کند که چگونه این شرکت متوجه این خطا نشده است؟ و البته این مسئله را یادآور می‌شود که برپایی احراز هویت دومرحله‌ای، نیازمند طی‌کردن استانداردهایی است که همه شرکت‌ها نمی‌توانند از پس آن بربیایند. 

محقق امنیتی  Zach Lanier از تیم امنیتی Duo Security هفته گذشته روشی را منتشر کرد که سازوکار احراز هویت دومرحله‌ای پی‌پال که مبتنی بر نرم‌افزار‌های تلفن‌همراه بود را دور زد. 

شرکت پی‌پال، روشی را معرفی کرده بود که به کاربر این امکان را می‌داد تا برای ورود به حساب کاربری خود، یک گذرواژه‌ی یک‌بار مصرف ایجاد کنند، که ایجاد این گذرواژه‌ از طریق یک دستگاه مخصوص یا کدی است که به دستگاه تلفن همراه کاربران ارسال می‌شود. اما نرم‌افزارهای پی‌پال موجود برای iOS و اندروید هنوز از سازوکار احراز هویت دومرحله‌ای پشتیبانی نمی‌کنند! 

 اگر یک کاربر، که از قضا امکان احراز هویت دومرحله‌ای را برای حساب‌کاربری پی‌پال خود ایجاد کرده است، و از طریق تلفن همراه خود یک درخواست ورود به حساب‌کاربری با پرچمی که نشان می‌دهد سازو‌کار احراز هویت دومرحله‌ای فعال است، ارسال کند، اتفاقات عجیبی رخ خواهد داد. 

 در این حالت نرم‌افزار موجود در iOS و اندروید به صورت خودکار از حساب کاربری خارج می‌شوند و یک پیغام خطا نمایش می‌دهند، اما اگر کاربر در زمان ارسال درخواست ورود به حساب‌کاربری، تلفن همراه خود را در حالت پرواز هواپیما قرار دهد و از ارسال برخی اطلاعات به پی پال جلوگیری کند، نرم‌افزار احراز هویت دومرحله‌ای را نادیده می‌گیرد و امکان ورود به حساب‌کاربری را بدون کد ارسال‌شده به تلفن همراه فراهم می‌کند و سازو‌کار احراز هویت دومرحله‌ای به همین راحتی دور زده می‌شود. 

 شاید این مسئله نکته‌ی ساده‌ای باشد که مهندسان امنیت پی‌پال آن را نادیده گرفته‌اند، اما مشکل این‌جاست که خدمات پی‌پال با بسیاری از نرم‌افزار‌ها و وب‌گاه‌ها در ارتباط است که رفع این مشکل را تا حد زیادی بسیار سخت می‌کند. 

 درسی که به راحتی از این چالش امنیتی می‌توان گرفت این است که اگر مهندسان شرکت‌های بزرگی مانند پی‌پال و گوگل که امنیت حرف اول را در خدمات آن‌ها می‌زند، با چنین چالش‌هایی روبه‌رو می‌شوند، آیا ایجاد احراز هویت دومرحله‌ای برای سایر شرکت‌های کوچک بدون ایجاد خطا ممکن خواهد بود؟

 در نظر گرفتن این مسئله که خدمات ابر و تلفن همراه در چند سال اخیر باید به شدت مورد توجه باشند، موردی است که دست‌کم در این چالش بزرگ نادیده گرفته شده است و خسارات فراوانی به تیم مهندسی امنیت پی‌پال وارد خواهد کرد.