G.O.S.S.I.P 学术论文推荐 2021-03-31

今天给大家推荐的是来自NDSS 2021的一篇论文—— "On the Insecurity of SMS One-Time Password Messages against Local Attackers in Modern Mobile Devices"。这篇文章中，作者总结了Android和iOS上，应用程序访问用户手机上短信消息中一次性口令的三类途径，并分别分析了恶意程序利用各类途径，非法窃取一次性口令的方式。包含一次性口令（One-Time Passwords，OTP）的SMS（Short Message Service）消息被广泛应用于身份验证中，其基本验证流程如下图所示。作者依据访问OTP过程中，所需要的用户交互类型，将应用程序访问OTP的方式分为了三类：其一，methods requiring per-message user interaction，每一次OTP的获取，都需要用户的交互操作；其二，methods requiring SMS-related permissions，需要用户手动一次性为该应用分配SMS相 ………………………………