malicioso pixel - attack qr codes
TRANSCRIPT
Malicioso Pixel : QR Attack
Juan David Castro ( Dylan Irzi )
WebSecurityDev
Quien Soy?
@Dylan_Irzi11
Juan David Castro
Investigador de Seguridad
Desarrollador Web
BugBounty Hunter
CEO de WebSecurityDev
• SEO (Search Engine Optimization).• Social Media Marketing• Growth Hacking
Contacto:• [email protected]
Agenda
Motivacion
Introducción Códigos QR
Phising Código QR
Casos de Ejemplos
Conclusiones
Motivaciones
Charlas acerca de Códigos QR
Implementación en marketing ( Campañas Publicitarias )
Implementacion Pay QR Codes VS Tecnología NFC
Vulnerabilidades Smartphones
Vulnerabilidades XSS
Códigos QR
(quick response code) «código de respuesta rápida»
es un módulo útil para almacenar información en una matriz de puntos o un código de barras bidimensional creado en 1994 por la compañía japonesa Denso Wave.
EstructuraHay 40 versiones (tamaños) de los códigos QR que constan de diferentes áreas que están reservadas para fines específicos.
Estructura QR Code
(1): Posición: Estas marcas, ubicadas en tres de las esquinas, permiten allector reconocer la posición del código y comenzar su lectura. Para lalegibilidad es importante que haya un margen blanco lo suficientementeancho alrededor del código QR.
(2): Número de versión del código QR: En el código QR también hayinformación sobre la versión empleada. Hoy en día ya hay 40 variantesdistintas.
(3) Alineación: Esta marca ayuda al lector a reconocer si la imagen delcódigo está distorsionada por la perspectiva. Cuando mayor es el código,más marcas se añaden.
(4) Formato: Con ayuda de esta información, el lector QR reconoce elformato de datos usado: si es una entrada de calendario, datos decontacto, una dirección de Internet, etc.
(5) Sincronización: Entre las tres marcas de posición hay unas líneaspunteadas, que indican el tamaño de la rejilla de la matriz.
USOS
Como
Funciona?
Código
Escaneo
Ejecución
En Cuestión de Seguridad?
Aplicaciones de Lectores QR con ejecución de Código.
Explotación de Malware
Phising QR Code
USSD QR Code
Ejecución de Código
Algunas Aplicaciones Lectores QR, tienen vulnerabilidades:
Buffer OverFlow
Buffer underflow:
XSS ( Cross Site Scripting )
URL Redirection
USSD Execution
Buffer OverFlow
Desbordamiento de búfer:
Cambiamos el indicador de número de caracteres a un número más alto,
por lo que el dispositivo de decodificación intenta decodificar partes de la
carga en forma de datos (si es que puede incluso cambiar el relleno
ganamos espacio valioso para la inclusión de datos adicionales).
Buffer Underflow
Buffer underflow:
Cambiamos el indicador de número
de caracteres que se asemejan a un
número más bajo que en el código
original QR. Por lo tanto, un dispositivo
de decodificación sólo debe
decodificar la primera parte del
mensaje, dejando fuera el resto. Esto
es especialmente útil en caso de que
el vínculo original que fue codificado
contenía sufijos.
Vulnerabilidades XSS en Lector Code
Se encontró uno vulnerable a evilQR java-script (QuickMark). Además, se puede deducirque alrededor del 35% de las solicitudes que se utilizaron fueron encontrados vulnerablesde redirección directa.
Estudio realizado por appsec-labs.com
Application Test a: java-script
parsing
Test b: website
redirection
TapReader (TapBase LLC) No Parsing User confirmation
QR+ (Alexandr Balyberdin) No Parsing User confirmation
QRReader (Tap Media Ltd) No Parsing Automatic Redirection
Scan (QR Code City, LLC) No Parsing Automatic Redirection
RedLaser (Occipital, LLC) No Parsing User confirmation
i-nigma (3GVision Ltd) No Parsing Automatic Redirection
BeeTagg (connvision AG) No Parsing User confirmation
QR Code Reader
(ShopSavvy, Inc.)
No Parsing Automatic Redirection
QuickMark (SimpleAct Inc.) JavaScript
Execution
Automatic Redirection
QR+Emoji (Ching-Lan
Huang)
No Parsing User confirmation
Bakodo (Dedoware Inc.) No Parsing User confirmation
https://appsec-labs.com/portal/security-assessment-of-mobile-qr-readers-%E2%80%93-a-comparison/
También Existen Ataques QR Phising“QRishing”
Consiste en Suplantar el Código QR original por uno Malicioso “EvilQR” o
Colocar Poster con Con Publicidad Engañosa
La Curiosidad!
Mediante la colocación de códigos QR con falsospretextos, los atacantes pueden atraer a losusuarios para escanear los códigos y,posteriormente, visitar sitios web maliciosos,instalar programas, o cualquier otra acción que eldispositivo móvil admite. Se investigó la viabilidadde los ataques de phishing QR-Code, o Qrishing.
USSD Exploit QR
Mediante la creación de códigos QR convectores USSD, es posible la ejecución deCódigo USSD en nuestro Celular.
Todos dispositivos Android corriendo Pordebajo de Android 4.1.x - Jelly Bean.
QR Malware!
Toolz ( SET + QRCode = Malware )
1) Social-Engineering Attacks
2) QR code generator Attack vector
3) Asignar URL Maliciosa
4) Ingeniería Social
Como Protegernos!
Medidas de Seguridad
Con carácter general, las recomendaciones son:Instalar en nuestro móvil un sistema Antivirus.
Mantener correctamente actualizado el Antivirus.
Mantén el Sistema Operativo de Smartphone actualizado.
Instalar aplicaciones confiables, preferiblemente descargadas directamente desde la tienda oficial de aplicaciones (Android Market).
Antes de instalar la aplicación se debe prestar atención a los permisos de seguridad que necesita la aplicación, y si no te convence, cancela la instalación e investiga el porqué necesita la aplicación ese tipo de permisos.
Si te encuentras con código QR, se debe prestar atención al lugar (website) y antes de proceder a escanear el código, verificar si es posible, por otro medio que la aplicación existe, que suele utilizar los códigos QR en sus promociones y páginas web. Por ultimo, si no ten convence demasiado, desconfía y evita realizar la lectura del código.
Fuentes y Información Adicional:
http://resources.infosecinstitute.com/qr-code-ussd-attack/
http://www.sba-research.org/wp-content/uploads/publications/QR_Code_Security.pdf
https://appsec-labs.com/portal/security-assessment-of-mobile-qr-readers-%E2%80%93-a-comparison/
http://www.perucrack.net/2014/09/ataque-por-medio-de-codigo-qr.html
Preguntas o Dudas?
Gracias!