双因子认证 （ Two-Factor Authentication ） （2FA）是一种生物识别技术，是保护用户在线数据的最强大的方法之一。两位阿姆斯特丹大学的研究人员最新发现了一种新的攻击方式，可以利用这种认证方式的设计缺陷让用户暴露在攻击风险之中。

两位研究人员 Radhesh Krishnan Konoth 和 Victor van der Even 说他们在 2014 年就发现了这个缺陷，已经警告了 Google 和其它的在线服务商，甚至还将他们的发现展示给了一些银行，但是没有人在意。

这两位研究人员解释说，因为到现在为止他们还没有公开具体细节，所以许多人认为这个漏洞并不危险，不值得注意。但是他们有不同的看法。

设备间的应用同步是 2FA 的阿喀琉斯之踵

如他们所解释，攻击并不是由于软件开发缺陷导致，而是由于 2FA 的设计缺陷导致的。现在有个概念叫做“计算无处不在”，让应用和内容在设备之间可以同步，而如果攻击者可以访问受害者的 PC 就会让 2FA 的保护失效。

由此，各种在线服务中的 2FA 认证机制的设计缺陷会让攻击者可以使用诸如 iTunes 或 Google Play 商店来将恶意应用推送到用户的手机上，而不会触发 2FA 认证系统，甚至可以在用户手机的首屏上展示图标。

当然，攻击者首先得能将他的恶意应用通过 Google 和 Apple 的审查放到他们的应用商店，不过最近看起来这种情况已经比较常见了。

此外，这也需要攻击者能够完全访问你的 PC，无论是可以直接接触访问，还是通过恶意软件控制你的设备，以及偷窃了你的账户。

跨设备的应用同步本身并不是问题，问题是实现方式不对

无论如何，风险依然是存在的。研究人员称，使用 2FA 的服务应该要非常注意在不同设备间的应用同步的实现方式。

在问及如何在 2FA 服务中修复这个问题，特别是对于使用这种服务的 Google 而言，研究人员说，最好的办法是“将应用安装过程（即提示用户该应用的所需权限的地方）放到手机上去，而不是将它们放到浏览器中”。

更多的细节，可以看看下述视频：

以及可以参考两位研究人员的论文：“计算无处不在如何干掉了你的基于手机的双因子认证”。