Security Meetup 22 октября. «Мобилки, деньги, два фактора». ...

Мобилки, деньги, два фактора

Дмитрий Евдокимов

Директор исследовательского центра

Digital Security

#securitymeetup

© 2002—2015, Digital Security

#whoami

• Исследователь информационной безопасности в Digital Security

• Редактор рубрики в журнале Xakep • Один из организаторов

конференций DEFCON Russia и ZeroNights

• Специализируюсь на поиске уязвимостей в бинарных приложениях без исходного кода

• Анализ мобильных приложений для Android, iOS, WindowsPhone

• Докладчик на конференциях в Польше, Франции, Германии, ОАЭ, Мексики

2


База

Двухфакторная аутентификация (также известная как 2FA) представляет собой технологию, которая обеспечивает идентификацию/аутентификацию пользователей с помощью комбинации двух различных компонентов.

3 © 2002—2015, Digital Security


2FA и интернет сервисы: https://twofactorauth.org/ и http://www.dongleauth.info/

https://twofactorauth.org/



http://www.dongleauth.info/

http://www.dongleauth.info/

Банковская сфера

Основные способы: • Таблица одноразовых ключей; • SMS; • Специальное мобильное приложение (RFC-4226); • Аппаратный генератор кодов подтверждения; • Биометрическая аутентификация.



Основной расклад



ДБО, интернет-банкинг

Мобильное банковское приложение 1) Ввод логина и пароля

2) Ввод 2FA

2) Ввод 2FA

Атаки против SMS OTP



Перехват по сети Мобильное вредоносное ПО

Клонирование SIM карт

Чтение SMS мобильным вредоносным ПО



- Установка приложения - Установка приложения - Enterprise сертификат - LoadLibraryA + GetProcAddress

- Установка приложения - Enterprise сертификат - Private API - Entitlements bypass (0day)

*Без root/jailbreak

Вредоносный код для iOS без JailBreak



Tories, LBTM, iSAM, InstaStock, CarrierIQ, FinaAndCall, Jekyll, FakeTor, WireLurker, Oneclickfraud, XcodeGhost, YiSpecter, …

Вредоносный код для WindowsPhone от HT



core-winphone/MornellaWp8/MornellaWp8/Events.h

core-winphone/MornellaWp8/MornellaWp8/Conf.cpp

core-winphone/MornellaWp8/MornellaWp8/SubAction.cpp

Files:

MornellaWp8/MornellaWp8/common_new/sms.h

MornellaWp8/MornellaWp8/SmsMessage.h

MornellaWp8/MornellaWp8/SendSms.h

\windows\SmsFilter.dll

core-winphone/MornellaWp8/MornellaWp8/common_new/snapi.h

Новая модель разрешений в ОС Android



• Появилась с Android M (6.0, API level 23) • Запрос разрешений в run-time • Можно отзывать разрешения

• Settings -> Apps -> app-name -> Permissions • Группы разрешений:

• normal, dangerous, signature,

signatureOrSystem, system, development, ..

• Если target SDK < Android M, то все работает, как и раньше

• Но может отзывать разрешения

Второй канал SMS для Android



Идея Collin Mulliner. Подробнее http://www.mulliner.org/blog/blosxom.cgi/2013/05/

http://www.mulliner.org/blog/blosxom.cgi/2013/05/

http://www.mulliner.org/blog/blosxom.cgi/2013/05/

Dual Identity (Dual Persona) for Mobile



• Одно физическое устройство – два и более логических устройств • Базируется на технологии виртуализации

• Гипервизор Type-1 • Гипервизор Type-2 • Защищенный контейнер

• Использование Virtual Desktop Infrastructure (VDI)

Превентивный способ



• Шифрование SMS • Отвечать не оригинальным OTP-сообщением

• На пример:

• Не защищает от вредоносного ПО, поднимающего привилегии в системе …

Изменение Оригинальное Итоговое

Без второй цифры 56732 5732

Заменить последнее значение 56732 56730

Только четные позиции 56732902 6392

Увеличенное на 1 56732 56733

А еще ...



Человеческой фантазии нет предела!



Итоги

• SMS OTP уже не настолько надежен • ОС Android самая привлекательная для злоумышленников • Мобильные телефоны (сервисы) становятся все более

привлекательными целями для злоумышленников



[email protected] @evdokimovds

Digital Security в Москве: (495) 223-07-86

Digital Security в Санкт-Петербурге: (812) 703-15-47


Спасибо за внимание! Вопросы?


#securitymeetup

mailto:[email protected]

Security Meetup 22 октября. «Мобилки, деньги, два фактора». ...

Education

Transcript of Security Meetup 22 октября. «Мобилки, деньги, два фактора». ...