Uber игнорирует уязвимость обхода двухфакторной аутентификации в своем приложении

Компания Uber проигнорировала в своем мобильном приложении уязвимость, позволяющую злоумышленнику взламывать учетные записи пользователей, минуя двухфакторную аутентификацию. По словам представителей компании, данная проблема «не является достаточно опасной», рассказал изданию ZDNet исследователь безопасности Каран Саини (Karan Saini).

Двухфакторная аутентификация (2FA) является важной частью защиты учетных записей. Она добавляет второй уровень безопасности помимо ввода имени пользователя и пароля, например, отправляя код в SMS-сообщении на телефон пользователя.

Uber начала тестировать двухфакторную аутентификацию в 2015 году. Несмотря на то, что функция пока не получила широкого распространения, многие пользователи регулярно отправляют двухфакторные коды аутентификации для входа в систему. Коды отправляются на телефон, который пользователь использует для вызова такси в приложении.

По словам исследователя, в приложении Uber существует уязвимость, позволяющая обойти двухфакторную аутентификацию, сделав второй слой защиты бесполезным. Эксперт направил отчет об уязвимости компании HackerOne, отвечающей за программу вознаграждения Uber за найденные уязвимости, однако его доклад был обозначен как «информативный», то есть содержащий «полезную информацию об уязвимостях, не требующих немедленного исправления». Как сообщил эксперту представитель компании Uber, проблема, описанная в его отчете, «не является достаточно опасной».

Уязвимость представляет собой проблему аутентификации пользователя при авторизации на платформе. Проэксплуатировав данную уязвимость, злоумышленник может обойти двухфакторную защиту без ввода правильного кода и получить полный доступ к учетной записи жертвы.

По словам пресс-секретаря Uber Мелани Инсайн (Melanie Ensign), данная уязвимость «вероятно, вызвана тестированием, проводимым отделом безопасности для оценки и повышения эффективности различных методов защиты учетных записей». Uber использует двухфакторную аутентификацию только в случаях, когда запросы считаются подозрительными, и данная функция не используется по умолчанию на каждом устройстве, добавила она.