Atenuando ataques de manipulação de transação contra esquemas de autenticação baseados em aplicativo

ID da resposta vasco-sr-20161019-transman

Número de revisão 1.0

Data de lançamento 19 de outubro de 2016 às 12:00 UTC + 1

Última atualização 19 de outubro de 2016 às 12:00 UTC + 1

mensagem

Introdução

Em outubro de 2016, os pesquisadores Vincent Haupert e Tilo Müller, da Universidade de Erlangen - Nuremberg, publicaram um artigo [1] descrevendo um ataque de manipulação de transações contra os esquemas de autenticação baseados em aplicativos de vários bancos alemães. Os pesquisadores pretendem mostrar que os esquemas de autenticação baseados em aplicativos, nos quais um aplicativo bancário móvel e um aplicativo de autenticação são executados no mesmo dispositivo móvel, tecnicamente podem não ser considerados seguros. Esta resposta de segurança descreve o ataque de manipulação de transação, fornece uma avaliação de risco do ataque e descreve maneiras de atenuar o risco.

Descrição do ataque

O ataque de manipulação de transações tem como alvo os esquemas de autenticação baseados em aplicativos, nos quais um aplicativo bancário móvel é usado para iniciar uma transação financeira e um aplicativo de autenticação separado é usado para confirmar a transação. Ambos os aplicativos, que interagem via comunicação entre aplicativos, residem no mesmo dispositivo móvel da vítima. O ataque é baseado na manipulação dos dados da transação inseridos pela vítima no aplicativo de banco móvel, bem como nos dados da transação mostrados à vítima pelo aplicativo de autenticação. 

O ataque consiste nas seguintes etapas:

  1. A vítima inicia o aplicativo bancário móvel, insere os dados da transação (por exemplo, número da conta do beneficiário, quantia em dinheiro) e envia a transação ao servidor bancário.
  2. O adversário intercepta e manipula a transação. Por exemplo, ele pode alterar o número da conta e a quantia em dinheiro do beneficiário. O adversário envia a transação manipulada para o servidor bancário.
  3. O aplicativo de banco móvel solicita à vítima que verifique e confirme a transação no aplicativo de autenticação. O último aplicativo, que está sob o controle do adversário, mostra os dados da transação original para a vítima. Como a vítima acredita que a transação está correta, ele a confirma. No entanto, na realidade, o aplicativo de autenticação gera uma assinatura ou TAN sobre os dados de transação manipulados e o retorna ao aplicativo de banco móvel.
  4. No aplicativo de banco móvel, a vítima confirma que a assinatura (TAN) pode ser enviada para o servidor bancário.
  5. O servidor bancário recebe a assinatura, verifica se corresponde à transação manipulada e executa a transação manipulada.

O ataque é implementado usando malware que explora uma vulnerabilidade de escalonamento de privilégios no dispositivo móvel, a fim de obter acesso root ao dispositivo.

A causa principal do ataque é que os esquemas de autenticação baseados em aplicativos com comunicação entre aplicativos são implementados inteiramente no mesmo dispositivo móvel. Dispositivos móveis são dispositivos abertos e polivalentes, com uma arquitetura de segurança complexa. O ataque não explora uma vulnerabilidade nos produtos CRONTO da OneSpan para dispositivos móveis. 

Detecção de reembalagem pelo RASP

Um dos aplicativos de autenticação descritos no artigo por Haupert e Müller é protegido usando a tecnologia RASP (Runtime Application Self-Protection) do OneSpan. O RASP fornece um grande número de serviços de segurança para aplicativos móveis, como detecção de raiz, reembalagem, detecção de injeção de código e proteção de depurador. 

Os pesquisadores apontam que eles conseguiram contornar a detecção de reembalagem do RASP. O OneSpan confirma que os pesquisadores exploraram uma fraqueza em sua tecnologia RASP. No entanto, explorar essa fraqueza requer um ataque altamente personalizado que é difícil de executar. O OneSpan atribui uma baixa probabilidade de ocorrência a este ataque pelos motivos descritos abaixo. Além disso, a VASCO lançará um patch na semana de 17 de outubro para resolver a fraqueza.

Avaliação de risco para o ataque

O OneSpan atribui uma baixa probabilidade de ocorrência ao ataque de manipulação de transações por vários motivos:

A funcionalidade do malware usado para executar o ataque é muito avançada e certamente muito mais avançada do que a funcionalidade do malware que o OneSpan observa hoje "em estado selvagem". O nível de sofisticação do malware usado pelos pesquisadores atualmente é observado apenas em laboratórios de pesquisa. O ataque funciona apenas em um ambiente controlado.

Os pesquisadores assumem que os dispositivos móveis direcionados estão sujeitos a uma vulnerabilidade de escalonamento de privilégios que permite que o malware faça root no dispositivo sem que o usuário perceba. Embora existam tais vulnerabilidades, elas normalmente exigem diferentes técnicas de exploração em diferentes tipos de dispositivos e sistemas operacionais. Isso dificulta o ataque contra um grande número de usuários.

Os pesquisadores assumem que o malware pode obter acesso root no dispositivo. Enquanto o enraizamento de um único tipo de dispositivo móvel pode ser realizado com relativa facilidade no ambiente controlado de um laboratório, obter acesso root a um grande número de dispositivos é significativamente mais difícil.

Para realizar esse ataque com sucesso, o invasor precisa de uma maneira de fazer com que o usuário instale um malware direcionado no dispositivo da vítima. Isso requer uma forma de engenharia social, direcionada a usuários individuais.

Muitos aplicativos de banco móvel impõem um limite à quantidade de dinheiro que pode ser transferida. O possível retorno econômico para o adversário é, portanto, relativamente baixo comparado ao esforço necessário.

Atenuando o ataque

A OneSpan recomenda mitigar o ataque de manipulação de transações da seguinte maneira:

A OneSpan recomenda o uso da tecnologia RASP (Runtime Application Self-Protection) para proteger aplicativos móveis. O RASP garante que a quantidade de esforço e o nível de conhecimento necessário para conduzir o ataque de manipulação de transações aumentem significativamente. Isso também é apontado pelos próprios pesquisadores.

Para mitigar completamente o ataque de manipulação de transações, o OneSpan recomenda o uso de um dispositivo de hardware separado para autenticar transações financeiras. Conforme apontado pelos pesquisadores, o uso de um dispositivo de hardware dedicado para autenticar transações financeiras fornece excelente proteção contra esse tipo de ataque.

Referências

[1] Vincent Haupert e Tilo Müller, na autenticação de código matricial baseada em aplicativos no banco on-line,
https://www1.cs.fau.de/content/app-based-matrix-code-authentication-online-banking

Contrato

Embora todo esforço razoável seja feito para processar e fornecer informações precisas, todo o conteúdo e as informações contidas neste documento são fornecidos "no estado em que se encontram" e "conforme disponível", sem qualquer representação ou endosso e sem garantia expressa ou implícita, COMPETÊNCIA OU ADEQUAÇÃO, OU QUALQUER GARANTIA, INCLUINDO AS GARANTIAS DE COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM USO OU FINS ESPECÍFICOS. A UTILIZAÇÃO DESTE DOCUMENTO, QUALQUER INFORMAÇÃO FORNECIDA OU MATERIAIS LIGADOS DESTE DOCUMENTO É POR SUA CONTA E RISCO. A VASCO RESERVA-SE O DIREITO DE ALTERAR OU ATUALIZAR AS INFORMAÇÕES DESTE DOCUMENTO A QUALQUER MOMENTO E A SEU DISCRETO, E QUANDO SE TIVER DISPONIBILIDADE DE INFORMAÇÕES NOVAS OU ADICIONAIS.

Copyright © 2016 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos os direitos reservados.

🖨 Atenuando ataques de manipulação de transação contra esquemas de autenticação baseados em aplicativo