Atténuer les attaques de manipulation de transactions contre les systèmes d'authentification basés sur les applications

Response ID vasco-sr-20161019-transman

Numéro de révision 1.0

Date de sortie 19 octobre 2016 12:00 UTC

Dernière mise à jour 19 octobre 2016 12:00 UTC

Message

Introduction

En octobre 2016, les chercheurs Vincent Haupert et Tilo M'ller de l'Université d'Erlangen- Nuremberg ont publié un article [1] décrivant une attaque de manipulation de transactions contre les systèmes d'authentification basés sur les applications de plusieurs banques allemandes. Les chercheurs ont l'intention de montrer que les systèmes d'authentification basés sur l'application, par lequel une application bancaire mobile et une application d'authentification sont exécutés sur le même appareil mobile, ne peuvent techniquement pas être considérés comme sécurisés. Cette réponse de sécurité décrit l'attaque de manipulation de transaction, fournit une évaluation des risques de l'attaque, et décrit des manières d'atténuer le risque.

Description de l'attaque

L'attaque de manipulation de transaction cible les systèmes d'authentification basés sur l'application, par qui une application bancaire mobile est utilisée pour lancer une transaction financière et une application d'authentification séparée est utilisée pour confirmer la transaction. Les deux applications, qui interagissent via la communication app-to-app, résident sur le même appareil mobile de la victime. L'attaque est basée sur la manipulation des données de transaction qui sont saisies par la victime dans l'application bancaire mobile ainsi que les données de transaction qui sont montrées à la victime par l'application d'authentification. 

L'attaque se compose des étapes suivantes :

  1. La victime lance l'application bancaire mobile, saisit les données de transaction (par exemple, numéro de compte bénéficiaire, montant d'argent) et soumet la transaction au serveur bancaire.
  2. L'adversaire intercepte et manipule la transaction. Par exemple, il peut modifier le numéro de compte et le montant de l'argent du bénéficiaire. L'adversaire envoie la transaction manipulée au serveur bancaire.
  3. L'application bancaire mobile invite la victime à vérifier et à confirmer la transaction dans l'application d'authentification. Cette dernière application, qui est sous le contrôle de l'adversaire, affiche les données de transaction d'origine à la victime. Puisque la victime croit que la transaction est correcte, il la confirme. Toutefois, en réalité, l'application d'authentification génère une signature ou UNTAN sur les données de transaction manipulées, et la retourne à l'application bancaire mobile.
  4. Dans l'application bancaire mobile, la victime confirme que la signature (TAN) peut être envoyée au serveur bancaire.
  5. Le serveur bancaire reçoit la signature, vérifie si elle correspond à la transaction manipulée et exécute la transaction manipulée.

L'attaque est implémentée à l'aide de logiciels malveillants qui exploitent une vulnérabilité d'escalade de privilège sur l'appareil mobile afin d'obtenir un accès root à l'appareil.

La cause profonde de l'attaque est que les systèmes d'authentification basés sur l'application avec la communication app-to-app sont implémentés entièrement sur le même appareil mobile. Les appareils mobiles sont des appareils ouverts et polyvalents avec une architecture de sécurité complexe. L'attaque n'exploite pas une vulnérabilité dans les produits CRONTO de OneSpan pour les appareils mobiles. 

Détection de reconditionnement par RASP

L'une des applications d'authentification décrites dans l'article de Haupert et de M.M.m.ller est protégée par la technologie Runtime Application Self-Protection (RASP) de OneSpan. RASP fournit un grand nombre de services de sécurité aux applications mobiles, telles que la détection des racines, la détection de reconditionnement, la détection d'injection de code et la protection contre les débogueurs. 

Les chercheurs soulignent qu'ils ont réussi à contourner la détection de reconditionnement de RASP. OneSpan confirme que les chercheurs ont exploité une faiblesse de sa technologie RASP. Cependant, l'exploitation de cette faiblesse nécessite une attaque très adaptée qui est difficile à exécuter. OneSpan attribue une faible probabilité d'occurrence à cette attaque pour les raisons décrites ci-dessous. En outre, VASCO publiera un patch dans la semaine du 17 Octobre pour résoudre la faiblesse.

Évaluation des risques pour l'attaque

OneSpan attribue une faible probabilité d'occurrence à l'attaque de manipulation de transaction pour plusieurs raisons :

La fonctionnalité du malware utilisé pour effectuer l'attaque est très avancée, et certainement beaucoup plus avancée que la fonctionnalité des logiciels malveillants que OneSpan observe "dans la nature" aujourd'hui. Le niveau de sophistication des logiciels malveillants utilisés par les chercheurs n'est actuellement observé que dans les laboratoires de recherche. L'attaque ne fonctionne que dans un environnement contrôlé.

Les chercheurs supposent que les appareils mobiles ciblés sont soumis à une vulnérabilité d'escalade de privilège qui permet aux logiciels malveillants d'enraciner l'appareil sans que l'utilisateur s'en aperçoive. Bien que de telles vulnérabilités existent, elles nécessitent généralement différentes techniques d'exploitation sur différents types d'appareils et de systèmes d'exploitation. Il est donc difficile de lancer l'attaque contre un grand nombre d'utilisateurs.

Les chercheurs supposent que le malware peut obtenir l'accès root sur l'appareil. Bien que l'enracinement d'un seul type d'appareil mobile puisse être effectué relativement facilement dans l'environnement contrôlé d'un laboratoire, il est beaucoup plus difficile d'obtenir un accès aux racines à un grand nombre d'appareils.

Afin de mener à bien cette attaque, l'attaquant a besoin d'un moyen de faire l'utilisateur installer des logiciels malveillants ciblés sur l'appareil de la victime. Cela nécessite une forme d'ingénierie sociale, destinée aux utilisateurs individuels.

De nombreuses applications bancaires mobiles imposent une limite au montant d'argent qui peut être transféré. Le rendement économique possible pour l'adversaire est donc relativement faible par rapport à l'effort requis.

Atténuer l'attaque

OneSpan recommande d'atténuer l'attaque de manipulation de transaction comme suit :

OneSpan recommande d'utiliser la technologie Runtime Application Self-Protection (RASP) pour protéger les applications mobiles. RASP s'assure que la quantité d'effort et le niveau d'expertise requis pour mener l'attaque de manipulation de transaction augmente considérablement. Cela est également souligné par les chercheurs eux-mêmes.

Afin d'atténuer complètement l'attaque de manipulation de transaction, OneSpan recommande d'utiliser un périphérique matériel séparé pour authentifier les transactions financières. Comme l'ont souligné les chercheurs, l'utilisation d'un matériel dédié pour authentifier les transactions financières offre une excellente protection contre ce type d'attaque.

Références

[1] Vincent Haupert et Tilo M'ller, On App-based Matrix Code Authentication in Online Banking,
https://www1.cs.fau.de/content/app-based-matrix-code-authentication-online-banking

Avis de non-responsabilité juridique

BIEN QUE TOUS LES EFFORTS RAISONNABLES SOIENT FAITS POUR TRAITER ET FOURNIR DES RENSEIGNEMENTS EXACTS, TOUT LE CONTENU ET L'INFORMATION CONTENUS DANS CE DOCUMENT SONT FOURNIS « TELS QUE C'EST » ET « COMME DISPONIBLES », SANS AUCUNE REPRÉSENTATION OU APPROBATION ET SANS AUCUNE EXPRESSION OU IMPLICITE GUARANTEE OF CURRENCY, COMPLETENESS OR SUITABILITY, OR ANY WARRANTY INCLUDING THE WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR USE OR PURPOSE. VOTRE UTILISATION DE CE DOCUMENT, DE TOUTE INFORMATION FOURNIE OU DE DOCUMENTS LIÉS À CE DOCUMENT EST À VOS RISQUES ET PÉRILS. VASCO SE RÉSERVE LE DROIT DE MODIFIER OU DE METTRE À JOUR LES INFORMATIONS CONTENUES DANS CE DOCUMENT À TOUT MOMENT ET À SA DISCRÉTION, AU FUR ET À MESURE QUE DES INFORMATIONS NOUVELLES OU SUPPLÉMENTAIRES SERONT DISPONIBLES.

Copyright © 2016 VASCO Data Security, Inc., VASCO Data Security International GmbH. Tous droits réservés.

🖨 Attémination des attaquesde manipulation de transactions contre app-based Authentication Scheme s