Mitigar los ataques de manipulación de transacciones contra esquemas de autenticación basados en aplicaciones

ID de respuesta vasco-sr-20161019-transman

Número de revisión 1.0

Fecha de lanzamiento 19 de octubre de 2016 12:00 p.m. UTC + 1

Última actualización 19 de octubre de 2016 12:00 p.m. UTC + 1

Mensaje

Introducción

En octubre de 2016, los investigadores Vincent Haupert y Tilo Müller de la Universidad de Erlangen - Nuremberg publicaron un artículo [1] que describe un ataque de manipulación de transacciones contra los esquemas de autenticación basados en aplicaciones de varios bancos alemanes. Los investigadores tienen la intención de mostrar que los esquemas de autenticación basados en aplicaciones, mediante los cuales una aplicación de banca móvil y una aplicación de autenticación se ejecutan en el mismo dispositivo móvil, técnicamente pueden no considerarse seguras. Esta respuesta de seguridad describe el ataque de manipulación de transacciones, proporciona una evaluación del riesgo del ataque y describe formas de mitigar el riesgo.

Descripción del ataque.

El ataque de manipulación de transacciones apunta a esquemas de autenticación basados en aplicaciones, mediante los cuales se usa una aplicación de banca móvil para iniciar una transacción financiera y se usa una aplicación de autenticación separada para confirmar la transacción. Ambas aplicaciones, que interactúan a través de la comunicación de aplicación a aplicación, residen en el mismo dispositivo móvil de la víctima. El ataque se basa en la manipulación de los datos de transacción que ingresa la víctima en la aplicación de banca móvil, así como los datos de transacción que la aplicación de autenticación le muestra a la víctima. 

El ataque consta de los siguientes pasos:

  1. La víctima inicia la aplicación de banca móvil, ingresa los datos de la transacción (por ejemplo, número de cuenta del beneficiario, cantidad de dinero) y envía la transacción al servidor bancario.
  2. El adversario intercepta y manipula la transacción. Por ejemplo, podría cambiar el número de cuenta y la cantidad de dinero del beneficiario. El adversario envía la transacción manipulada al servidor bancario.
  3. La aplicación de banca móvil solicita a la víctima que verifique y confirme la transacción en la aplicación de autenticación. La última aplicación, que está bajo el control del adversario, muestra los datos de la transacción original a la víctima. Como la víctima cree que la transacción es correcta, la confirma. Sin embargo, en realidad, la aplicación de autenticación genera una firma o TAN sobre los datos de transacción manipulados y la devuelve a la aplicación de banca móvil.
  4. En la aplicación de banca móvil, la víctima confirma que la firma (TAN) se puede enviar al servidor bancario.
  5. El servidor bancario recibe la firma, verifica si corresponde a la transacción manipulada y ejecuta la transacción manipulada.

El ataque se implementa utilizando malware que explota una vulnerabilidad de escalada de privilegios en el dispositivo móvil para obtener acceso de root al dispositivo.

La causa raíz del ataque es que los esquemas de autenticación basados en aplicaciones con comunicación de aplicación a aplicación se implementan completamente en el mismo dispositivo móvil. Los dispositivos móviles son dispositivos abiertos y multipropósito con una arquitectura de seguridad compleja. El ataque no aprovecha una vulnerabilidad en los productos CRONTO de OneSpan para dispositivos móviles. 

Detección de reempaquetado por RASP

Una de las aplicaciones de autenticación descritas en el artículo de Haupert y Müller está protegida mediante la tecnología de autoprotección de aplicaciones en tiempo de ejecución (RASP) de OneSpan. RASP proporciona una gran cantidad de servicios de seguridad para aplicaciones móviles, como detección de raíz, detección de reempaquetado, detección de inyección de código y protección de depurador. 

Los investigadores señalan que lograron sortear la detección de reempaquetado de RASP. OneSpan confirma que los investigadores explotaron una debilidad en su tecnología RASP. Sin embargo, explotar esta debilidad requiere un ataque altamente personalizado que sea difícil de ejecutar. OneSpan asigna una baja probabilidad de ocurrencia a este ataque por las razones que se detallan a continuación. Además, VASCO lanzará un parche en la semana del 17 de octubre para resolver la debilidad.

Evaluación de riesgos del ataque.

OneSpan asigna una baja probabilidad de ocurrencia al ataque de manipulación de transacciones debido a varias razones:

La funcionalidad del malware utilizado para realizar el ataque es muy avanzada, y ciertamente mucho más avanzada que la funcionalidad del malware que OneSpan observa "en la naturaleza" en la actualidad. El nivel de sofisticación del malware utilizado por los investigadores actualmente solo se observa en los laboratorios de investigación. El ataque solo funciona en un entorno controlado.

Los investigadores suponen que los dispositivos móviles específicos están sujetos a una vulnerabilidad de escalada de privilegios que permite que el malware arraigue el dispositivo sin que el usuario lo note. Aunque existen tales vulnerabilidades, generalmente requieren diferentes técnicas de explotación en diferentes tipos de dispositivos y sistemas operativos. Esto dificulta el lanzamiento del ataque contra un gran número de usuarios.

Los investigadores suponen que el malware puede obtener acceso de root en el dispositivo. Si bien el enraizamiento de un solo tipo de dispositivo móvil se puede realizar de manera relativamente fácil en el entorno controlado de un laboratorio, obtener acceso de root a una gran cantidad de dispositivos es significativamente más difícil.

Para llevar a cabo con éxito este ataque, el atacante necesita una manera de hacer que el usuario instale malware dirigido en el dispositivo de la víctima. Esto requiere una forma de ingeniería social, dirigida a usuarios individuales.

Muchas aplicaciones de banca móvil imponen un límite en la cantidad de dinero que se puede transferir. Por lo tanto, el posible rendimiento económico para el adversario es relativamente bajo en comparación con el esfuerzo requerido.

Mitigando el ataque

OneSpan recomienda mitigar el ataque de manipulación de transacciones de la siguiente manera:

OneSpan recomienda utilizar la tecnología de autoprotección de aplicaciones en tiempo de ejecución (RASP) para proteger las aplicaciones móviles. RASP asegura que la cantidad de esfuerzo y el nivel de experiencia requerido para llevar a cabo el ataque de manipulación de transacciones aumente significativamente. Esto también lo señalan los propios investigadores.

Para mitigar por completo el ataque de manipulación de transacciones, OneSpan recomienda usar un dispositivo de hardware separado para autenticar las transacciones financieras. Como señalaron los investigadores, el uso de un dispositivo de hardware dedicado para autenticar transacciones financieras proporciona una excelente protección contra este tipo de ataque.

Referencias

[1] Vincent Haupert y Tilo Müller, sobre la autenticación de código de matriz basada en aplicaciones en la banca en línea,
https://www1.cs.fau.de/content/app-based-matrix-code-authentication-online-banking

Nota legal

MIENTRAS QUE CADA ESFUERZO RAZONABLE SE HACE PARA PROCESAR Y PROPORCIONAR INFORMACIÓN QUE ES EXACTA, TODO EL CONTENIDO Y LA INFORMACIÓN EN ESTE DOCUMENTO SE PROPORCIONAN "TAL CUAL" Y "SEGÚN DISPONIBILIDAD", SIN NINGUNA REPRESENTACIÓN O RESPALDO Y SIN NINGUNA GARANTÍA DE MONEDA EXPRESA O IMPLÍCITA, COMPLETIDAD O ADECUACIÓN, O CUALQUIER GARANTÍA, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD O APTITUD PARA UN USO O PROPÓSITO EN PARTICULAR. SU USO DE ESTE DOCUMENTO, CUALQUIER INFORMACIÓN PROPORCIONADA O DE MATERIALES VINCULADOS DE ESTE DOCUMENTO ES BAJO SU PROPIO RIESGO. VASCO SE RESERVA EL DERECHO DE CAMBIAR O ACTUALIZAR LA INFORMACIÓN EN ESTE DOCUMENTO EN CUALQUIER MOMENTO Y A SU DISCRECIÓN, EN CUANTO A CUANDO LA INFORMACIÓN NUEVA O ADICIONAL ESTÉ DISPONIBLE.

Copyright © 2016 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos los derechos reservados.

🖨 Mitigar los ataques de manipulación de transacciones contra esquemas de autenticación basados en aplicaciones