レスポンスID vasco-sr-20161019-transman
改訂番号 1.0
リリース日 2016年10月19日午後12:00 UTC + 1
最後の更新 2016年10月19日午後12:00 UTC + 1
メッセージ
前書き
2016年10月、アーランゲン大学の研究者Vincent HaupertとTiloMüller–ニュルンベルクは、いくつかのドイツの銀行のアプリベースの認証スキームに対するトランザクション操作攻撃を概説する記事[1]を公開しました。研究者たちは、モバイルバンキングアプリと認証アプリが同じモバイルデバイス上で実行されるアプリベースの認証スキームは、技術的には安全とは見なされないことを示すつもりです。このセキュリティレスポンスでは、トランザクション操作攻撃について説明し、攻撃のリスク評価を提供し、リスクを軽減する方法について説明します。
攻撃の説明
トランザクション操作攻撃は、アプリベースの認証スキームを対象としています。これにより、モバイルバンキングアプリを使用して金融トランザクションを開始し、別の認証アプリを使用してトランザクションを確認します。アプリ間通信を介して相互作用する両方のアプリは、被害者の同じモバイルデバイスに常駐します。攻撃は、被害者がモバイルバンキングアプリに入力したトランザクションデータと、認証アプリが被害者に提示したトランザクションデータの操作に基づいています。
攻撃は次のステップで構成されています。
- 被害者はモバイルバンキングアプリを起動し、トランザクションデータ(例:受取人の口座番号、金額)を入力して、トランザクションをバンキングサーバーに送信します。
- 攻撃者はトランザクションを傍受して操作します。たとえば、彼は受取人の口座番号と金額を変更するかもしれません。敵対者は、操作されたトランザクションを銀行サーバーに送信します。
- モバイルバンキングアプリは、被害者に認証アプリでの取引の確認と確認を促します。攻撃者の制御下にある後者のアプリは、被害者に元のトランザクションデータを表示します。被害者は取引が正しいと信じているので、彼はそれを確認します。ただし、実際には、認証アプリは操作されたトランザクションデータに対して署名またはTANを生成し、それをモバイルバンキングアプリに返します。
- モバイルバンキングアプリでは、被害者は署名(TAN)をバンキングサーバーに送信できることを確認します。
- 銀行のサーバーは署名を受け取り、それが操作されたトランザクションに対応するかどうかを確認し、操作されたトランザクションを実行します。
攻撃は、デバイスへのルートアクセスを取得するために、モバイルデバイスの特権昇格の脆弱性を悪用するマルウェアを使用して実装されます。
攻撃の根本的な原因は、アプリ間通信によるアプリベースの認証スキームが、同じモバイルデバイスに完全に実装されていることです。モバイルデバイスは、複雑なセキュリティアーキテクチャを備えたオープンな多目的デバイスです。この攻撃は、モバイルデバイス向けのOneSpanのCRONTO製品の脆弱性を利用するものではありません。
RASPによる再パッケージ検出
HaupertとMüllerによる記事で説明されている認証アプリの1つは、OneSpanのランタイムアプリケーションセルフプロテクション(RASP)テクノロジーを使用して保護されています。RASPは、ルート検出、再パッケージ検出、コードインジェクション検出、デバッガー保護など、モバイルアプリに多数のセキュリティサービスを提供します。
研究者たちは、RASPの再パッケージ化検出を回避できたと指摘しています。OneSpanは、研究者がそのRASPテクノロジーの弱点を悪用したことを確認しています。ただし、この弱点を悪用するには、実行が難しい高度に調整された攻撃が必要です。OneSpanは、以下に概説する理由により、この攻撃に低い発生確率を割り当てます。さらに、VASCOは脆弱性を解決するパッチを10月17日の週にリリースします。
攻撃のリスク評価
OneSpanは、いくつかの理由により、トランザクション操作攻撃に低い確率で発生します。
攻撃を実行するために使用されるマルウェアの機能は非常に高度であり、確かにOneSpanが今日「実際に」観察しているマルウェアの機能よりもはるかに高度です。研究者が使用するマルウェアの高度化のレベルは現在、研究室でのみ観察されています。攻撃は制御された環境でのみ機能します。
研究者は、標的となるモバイルデバイスが、ユーザーに気付かれずにマルウェアがデバイスをルート化することを可能にする特権昇格の脆弱性の影響を受けると想定しています。このような脆弱性は存在しますが、通常、デバイスやオペレーティングシステムの種類ごとに異なる悪用手法が必要です。これにより、多数のユーザーに対して攻撃を開始することが困難になります。
研究者は、マルウェアがデバイス上のルートアクセスを取得できると想定しています。1つのタイプのモバイルデバイスのルート化は、ラボの制御された環境で比較的簡単に実行できますが、多数のデバイスへのルートアクセスを取得することは非常に困難です。
この攻撃を成功させるために、攻撃者はユーザーに標的のマルウェアを被害者のデバイスにインストールさせる方法を必要とします。これには、個々のユーザーを対象としたソーシャルエンジニアリングの形式が必要です。
多くのモバイルバンキングアプリでは、送金できる金額に制限があります。したがって、敵対者の可能な経済的利益は、必要な努力と比較して比較的低いです。
攻撃を緩和する
OneSpanでは、トランザクション操作攻撃を次のように緩和することをお勧めします。
OneSpanでは、ランタイムアプリケーションの自己保護(RASP)テクノロジを使用してモバイルアプリを保護することをお勧めします。RASPにより、トランザクション操作攻撃を実行するために必要な労力と専門知識のレベルが大幅に増加します。これは研究者自身も指摘している。
トランザクション操作攻撃を完全に軽減するために、OneSpanは別のハードウェアデバイスを使用して金融トランザクションを認証することをお勧めします。研究者が指摘したように、金融取引を認証するために専用のハードウェアデバイスを使用すると、この種の攻撃に対する優れた保護が提供されます。
参考文献
[1] Vincent HaupertおよびTiloMüller、オンラインバンキングにおけるアプリベースのマトリックスコード認証について、
https://www1.cs.fau.de/content/app-based-matrix-code-authentication-online-banking
法的放棄声明
本書に記載されているすべての内容と情報は、表現または保証がなく、明示的または黙示的な保証なしに、「現状のまま」かつ「入手可能な」状態で提供されます。完全性または適合性、または商品性または特定の使用または目的への適合性の保証を含む、いかなる保証。このドキュメント、提供された情報、またはこのドキュメントからリンクされている資料の使用は、ユーザー自身の責任で行ってください。VASCOは、このドキュメントの情報をいつでも、その裁量で、新しい情報または追加情報が利用可能になったときに変更または更新する権利を留保します。
Copyright©2016 VASCO Data Security、Inc.、VASCO Data Security International GmbH。全著作権所有。