security meetup 22 октября. «Мобилки, деньги, два фактора». ...
TRANSCRIPT
Мобилки, деньги, два фактора
Дмитрий Евдокимов
Директор исследовательского центра
Digital Security
#securitymeetup
© 2002—2015, Digital Security
#whoami
• Исследователь информационной безопасности в Digital Security
• Редактор рубрики в журнале Xakep • Один из организаторов
конференций DEFCON Russia и ZeroNights
• Специализируюсь на поиске уязвимостей в бинарных приложениях без исходного кода
• Анализ мобильных приложений для Android, iOS, WindowsPhone
• Докладчик на конференциях в Польше, Франции, Германии, ОАЭ, Мексики
2
Мобилки, деньги, два фактора
База
Двухфакторная аутентификация (также известная как 2FA) представляет собой технологию, которая обеспечивает идентификацию/аутентификацию пользователей с помощью комбинации двух различных компонентов.
3 © 2002—2015, Digital Security
Мобилки, деньги, два фактора
2FA и интернет сервисы: https://twofactorauth.org/ и http://www.dongleauth.info/
Банковская сфера
Основные способы: • Таблица одноразовых ключей; • SMS; • Специальное мобильное приложение (RFC-4226); • Аппаратный генератор кодов подтверждения; • Биометрическая аутентификация.
4 © 2002—2015, Digital Security
Мобилки, деньги, два фактора
Основной расклад
5 © 2002—2015, Digital Security
Мобилки, деньги, два фактора
ДБО, интернет-банкинг
Мобильное банковское приложение 1) Ввод логина и пароля
2) Ввод 2FA
2) Ввод 2FA
Атаки против SMS OTP
6 © 2002—2015, Digital Security
Мобилки, деньги, два фактора
Перехват по сети Мобильное вредоносное ПО
Клонирование SIM карт
Чтение SMS мобильным вредоносным ПО
7 © 2002—2015, Digital Security
Мобилки, деньги, два фактора
- Установка приложения - Установка приложения - Enterprise сертификат - LoadLibraryA + GetProcAddress
- Установка приложения - Enterprise сертификат - Private API - Entitlements bypass (0day)
*Без root/jailbreak
Вредоносный код для iOS без JailBreak
8 © 2002—2015, Digital Security
Мобилки, деньги, два фактора
Tories, LBTM, iSAM, InstaStock, CarrierIQ, FinaAndCall, Jekyll, FakeTor, WireLurker, Oneclickfraud, XcodeGhost, YiSpecter, …
Вредоносный код для WindowsPhone от HT
9 © 2002—2015, Digital Security
Мобилки, деньги, два фактора
core-winphone/MornellaWp8/MornellaWp8/Events.h
core-winphone/MornellaWp8/MornellaWp8/Conf.cpp
core-winphone/MornellaWp8/MornellaWp8/SubAction.cpp
Files:
MornellaWp8/MornellaWp8/common_new/sms.h
MornellaWp8/MornellaWp8/SmsMessage.h
MornellaWp8/MornellaWp8/SendSms.h
\windows\SmsFilter.dll
core-winphone/MornellaWp8/MornellaWp8/common_new/snapi.h
Новая модель разрешений в ОС Android
10 © 2002—2015, Digital Security
Мобилки, деньги, два фактора
• Появилась с Android M (6.0, API level 23) • Запрос разрешений в run-time • Можно отзывать разрешения
• Settings -> Apps -> app-name -> Permissions • Группы разрешений:
• normal, dangerous, signature,
signatureOrSystem, system, development, ..
• Если target SDK < Android M, то все работает, как и раньше
• Но может отзывать разрешения
Второй канал SMS для Android
11 © 2002—2015, Digital Security
Мобилки, деньги, два фактора
Идея Collin Mulliner. Подробнее http://www.mulliner.org/blog/blosxom.cgi/2013/05/
Dual Identity (Dual Persona) for Mobile
12 © 2002—2015, Digital Security
Мобилки, деньги, два фактора
• Одно физическое устройство – два и более логических устройств • Базируется на технологии виртуализации
• Гипервизор Type-1 • Гипервизор Type-2 • Защищенный контейнер
• Использование Virtual Desktop Infrastructure (VDI)
Превентивный способ
13 © 2002—2015, Digital Security
Мобилки, деньги, два фактора
• Шифрование SMS • Отвечать не оригинальным OTP-сообщением
• На пример:
• Не защищает от вредоносного ПО, поднимающего привилегии в системе …
Изменение Оригинальное Итоговое
Без второй цифры 56732 5732
Заменить последнее значение 56732 56730
Только четные позиции 56732902 6392
Увеличенное на 1 56732 56733
Итоги
• SMS OTP уже не настолько надежен • ОС Android самая привлекательная для злоумышленников • Мобильные телефоны (сервисы) становятся все более
привлекательными целями для злоумышленников
16 © 2002—2015, Digital Security
Мобилки, деньги, два фактора
[email protected] @evdokimovds
Digital Security в Москве: (495) 223-07-86
Digital Security в Санкт-Петербурге: (812) 703-15-47
Мобилки, деньги, два фактора
Спасибо за внимание! Вопросы?
17 © 2002—2015, Digital Security
#securitymeetup