More Related Content
Similar to Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимов. DigitalSecurity (20)
More from Mail.ru Group (20)
Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимов. DigitalSecurity
- 1. Мобилки, деньги, два фактора
Дмитрий Евдокимов
Директор исследовательского центра
Digital Security #securitymeetup
- 2. © 2002—2015,Digital Security
#whoami
• Исследователь информационной
безопасности в Digital Security
• Редакторрубрики в журнале Xakep
• Один из организаторов
конференций DEFCON Russia и
ZeroNights
• Специализируюсь на поиске
уязвимостейв бинарных
приложениях без исходного кода
• Анализ мобильных приложений
для Android, iOS, WindowsPhone
• Докладчик на конференцияхв
Польше, Франции, Германии, ОАЭ,
Мексики
2
Мобилки, деньги, два фактора
- 3. База
Двухфакторнаяаутентификация (также известная как 2FA) представляет собой
технологию, котораяобеспечивает идентификацию/аутентификацию
пользователейс помощью комбинации двух различных компонентов.
3© 2002—2015,Digital Security
Мобилки, деньги, два фактора
2FA и интернет сервисы: https://twofactorauth.org/ иhttp://www.dongleauth.info/
- 4. Банковская сфера
Основные способы:
• Таблица одноразовых ключей;
• SMS;
• Специальное мобильное приложение (RFC-4226);
• Аппаратный генератор кодов подтверждения;
• Биометрическая аутентификация.
4© 2002—2015,Digital Security
Мобилки, деньги, два фактора
- 6. Атаки против SMS OTP
6© 2002—2015,Digital Security
Мобилки, деньги, два фактора
Перехват по сетиМобильное вредоносное ПО
КлонированиеSIM карт
- 7. Чтение SMS мобильным вредоносным ПО
7© 2002—2015,Digital Security
Мобилки, деньги, два фактора
- Установкаприложения- Установкаприложения
- Enterprise сертификат
- LoadLibraryA+ GetProcAddress
- Установкаприложения
- Enterprise сертификат
- Private API
- Entitlementsbypass(0day)
*Без root/jailbreak
- 8. Вредоносный код для iOS без JailBreak
8© 2002—2015,Digital Security
Мобилки, деньги, два фактора
Tories, LBTM, iSAM, InstaStock,CarrierIQ, FinaAndCall, Jekyll,
FakeTor, WireLurker, Oneclickfraud, XcodeGhost,YiSpecter, …
- 9. Вредоносный код для WindowsPhone от HT
9© 2002—2015,Digital Security
Мобилки, деньги, два фактора
core-winphone/MornellaWp8/MornellaWp8/Events.h
core-winphone/MornellaWp8/MornellaWp8/Conf.cpp
core-winphone/MornellaWp8/MornellaWp8/SubAction.cpp
Files:
MornellaWp8/MornellaWp8/common_new/sms.h
MornellaWp8/MornellaWp8/SmsMessage.h
MornellaWp8/MornellaWp8/SendSms.h
windowsSmsFilter.dll
core-winphone/MornellaWp8/MornellaWp8/common_new/snapi.h
- 10. Новая модель разрешений в ОС Android
10© 2002—2015,Digital Security
Мобилки, деньги, два фактора
• Появилась с Android M (6.0, API level 23)
• Запрос разрешений в run-time
• Можно отзывать разрешения
• Settings -> Apps -> app-name -> Permissions
• Группы разрешений:
• normal, dangerous, signature,
signatureOrSystem, system, development, ..
• Если target SDK < Android M, то все работает, как и раньше
• Но может отзывать разрешения
- 11. Второй канал SMS для Android
11© 2002—2015,Digital Security
Мобилки, деньги, два фактора
Идея Collin Mulliner. Подробнее http://www.mulliner.org/blog/blosxom.cgi/2013/05/
- 12. Dual Identity (Dual Persona) for Mobile
12© 2002—2015,Digital Security
Мобилки, деньги, два фактора
• Одно физическое устройство – два и более логических
устройств
• Базируется на технологии виртуализации
• Гипервизор Type-1
• Гипервизор Type-2
• Защищенный контейнер
• Использование Virtual Desktop Infrastructure (VDI)
- 13. Превентивный способ
13© 2002—2015,Digital Security
Мобилки, деньги, два фактора
• Шифрование SMS
• Отвечать не оригинальным OTP-сообщением
• На пример:
• Не защищает от вредоносного ПО, поднимающего
привилегии в системе …
Изменение Оригинальное Итоговое
Без второй цифры 56732 5732
Заменить последнее значение 56732 56730
Только четные позиции 56732902 6392
Увеличенное на 1 56732 56733
- 14. А еще ...
14© 2002—2015,Digital Security
Мобилки, деньги, два фактора
- 16. Итоги
• SMS OTP уже не настольконадежен
• ОС Android самая привлекательная для злоумышленников
• Мобильные телефоны (сервисы) становятся все более
привлекательнымицелями для злоумышленников
16© 2002—2015,Digital Security
Мобилки, деньги, два фактора