PRMitM：一种可重置账号密码的中间人攻击，双因素认证也无效

在今年的IEEE研讨会上，来自以色列管理学术研究学院的研究人员展示了一种新的攻击方法。这种攻击方法被命名为PRMitM，意为“密码重置中间人攻击(Password Reset MitM Attack)”。黑客可以利用这种攻击手法对受害者的账号进行密码修改。

研究人员称，Google极易受到攻击，而Facebook, Yahoo, LinkedIn, Yandex和其他邮箱服务、手机应用（包括Whatsapp、Snapchat）也比较容易受到攻击。

攻击流程

首先攻击者需要搭建一个网站，并且需要访客进行注册。网站可能提供某些免费服务或者免费软件，但是需要登录才能使用，借此吸引访客进行注册。当访客在注册表单中填写信息时，攻击开始。

接下来攻击者会跑到访客填写的邮件服务商（或者其他服务）那里选择“忘记密码”，如果出现验证码，攻击者就会把它再转发到网站让用户填写。当然，黑客会用一套自动化程序完成这些操作。

全球Top 10网站在密码重置时采用的验证方式

与处理验证码的方法相同，之后密码重置过程中遇到的安全问题，攻击者也会返回给注册用户进行填写。

用户需要下载文件时，网站要求用户填写邮箱，填写后，攻击者会找到邮箱服务商，选择忘记密码，此时有些邮件服务商会返回验证码，攻击者再将验证码返回给用户填写，用户填写完成再提交给邮件服务商。同理，对于那些安全问题攻击者也可以要求用户进行填写，这在注册流程中是非常正常的事。获取了用户所有信息，攻击者便可进行密码重置。

有一些网站只使用安全问题就可以进行密码重置。在研究人员的实验中，77%的实验者把那些安全问题的答案提交给了非常不重要的网站。在研究人员看来这是非常危险的，诸如父母的姓名这类的网站应该只提供给非常重要的网站比如网银网站。研究人员提供的另外一条建议是，不要在那些不重要的网站提供这些问题的真实答案。

PRMitM攻击方法的优势

可以用来对付双因素认证

PRMitM可以用来对付双因素认证。很多双因素认证需要验证用户手机，而使用PRMitM攻击者无需对受害者手机进行控制，也无需转发短信。攻击者只需要要求访客验证手机号就可以进行认证。攻击者会声称发送了短信验证码，而实际上发送短信验证码的是攻击者正在进行密码重置的网站。

之所以能够蒙混过关，还有一个比较重要的因素是发送短信的服务没有标明自己的服务，有时用户也没有注意验证码的发送方，在收到验证码时用户往往不会完整地阅读整条短信。

上图中的Yandex就没有注明用于Yandex服务

研究人员发现，Google在发送验证码时不会提示验证码用于密码重置。Netfix不会提示验证码来自Netflix，eBay不会提短信来自eBay。而微软、Facebook和Twitter的短信则会注明用于密码重置。

Whatsapp、Snapchat PRMitM

研究人员发现对于那些手机应用同样存在被攻击的可能。Whatsapp、Snapchat、会提供拨打电话进行密码重置的方法，但是同样地在这些电话中，这些服务不会声明具体的服务。

针对中国的短信验证服务

实际上研究人员所说的提示验证码来自Google，指的是在手机短信应用中直接显示来自Google，而非来自特定的号码。这样的服务在中国比较少，我们的短信验证码普遍来自1065开头的号码。

不过据小编观察，大多数的短信在开头会注明来源：

不过有些手机厂商提供了自动复制短信验证码的功能，这也可能造成用户直接忽略短信内容填写验证码。

攻击的局限性

实际上PRMitM这样的攻击方式只有在攻击邮件服务商时才足够有效，因为很多服务在密码重置时往往会先发送一份密码重置邮件，这样就暴露了攻击者的意图。

而研究人员提出的解决方案就是让厂商在短信中发送密码重置链接（因为对于忘记密码无法登陆的用户，邮件服务商无法发送重置邮件），或者更好的办法则是同时发送验证短信和验证邮件。

漏洞已通报厂商

研究人员称已经把这些“漏洞”汇报给了各个厂商。

那些极易被PRMitM攻击的厂商有的已经修复了漏洞(Snapchat, Yahoo!)，有的回复我们称将修复漏洞(Google, LinkedIn, Yandex)。对于那些不容易攻击的网站，致谢了我们，并且称可能在将来采用我们的发现，但目前暂不会进行修复。