逆向工程师：黑掉移动登陆令牌可行

我觉得我现在被克隆了，总有两个一样的我跟在身边。

XMobile应用能够为双因素认证生成显示在屏幕上的令牌。安全研究人员警告称，该应用可能被恶意软件检验并克隆。

诈骗犯可以利用这些克隆来生成登陆银行账号和其它在线服务所必须的代码，制造受害者。

银行极度依赖于此类令牌来验证用户，但基于智能手机的这项技术相比于传统的硬件令牌而言又带来了新的风险。

Vantage Point Security公司董事、安全研究人员Bernhard Mueller称，制造克隆软件所需要的工作量取决于预防反向工程的防御措施的质量。

入侵那些被广泛使用的移动式双因素认证技术并不那么简单，然而对于技术高超而机智的黑客而言仍旧可能。

Mueller对媒体表示：“克隆Vasco Digipass的工作量不小，大概需要七周时间。我的见解是，它们的防御实际上很棒。我们花了两周的时间来开发用于RSA SecurID的工具。RSA的官方立场是不支持使用Root后的设备，因此他们配备的额外防御并不多。”

RSA还没有针对这一研究成果发表声明。Vasco表示，Mueller指出的漏洞只对其演示应用有效，也即Digipass for Mobile的演示版本和MyBank，它们的安全性能不如实际出产的应用。

Vasco Data Security公司公关副总裁John Gunn表示：“这篇论文描述的攻击方式仅能够应用于我们的演示应用。演示应用和实际世界之间的区别是很大的。”

一篇被称为Hacking Mobile Token的68页文章中给出了来自两家相关厂商的官方回应。制作人是Mueller，该文章已经在新加坡近日举行的Hack In The Box大会上发布。Mueller将概念验证工具和幻灯片整合进了他的研究中，并得出结论称，研究的目标是证明几乎所有东西都能被入侵，只要具备足够的时间和资源。

完美的混淆方案是不可能的。无法防止拥有白盒权限的对手访问一些功能，并最终理解、重新制作该功能。移动令牌也无法幸免，因此用户应当意识到，没有软件保护能够真正防止他们的双因素认证信息被拥有Root级别权限的对手窃取。Mueller基于他的研究给出了多种防御策略。

Mueller对媒体表示：“应当警告企业和个人用户，在使用这些产品时随时打开PIN模式。”