Смягчение атак манипулирования транзакциями против схем аутентификации на основе приложений

ID ответа Васко-стер-20161019-transman

Номер ревизии 1,0

Дата выпуска 19 октября 2016 г., 12:00 UTC + 1

Последнее обновление 19 октября 2016 г., 12:00 UTC + 1

Сообщение

Вступление

В октябре 2016 года исследователи Винсент Хауперт и Тило Мюллер из Университета Эрлангена - Нюрнберга опубликовали статью [1], в которой описывается атака манипуляции транзакциями на схемы аутентификации на основе приложений нескольких немецких банков. Исследователи намерены показать, что схемы аутентификации на основе приложений, в которых мобильное банковское приложение и приложение аутентификации выполняются на одном и том же мобильном устройстве, технически нельзя считать безопасными. В этом ответе по безопасности описывается атака манипулирования транзакциями, дается оценка риска атаки и описываются способы снижения риска.

Описание атаки

Атака манипулирования транзакциями нацелена на схемы аутентификации на основе приложений, в которых мобильное банковское приложение используется для инициирования финансовой транзакции, а отдельное приложение аутентификации используется для подтверждения транзакции. Оба приложения, которые взаимодействуют посредством обмена данными между приложениями, находятся на одном мобильном устройстве жертвы. Атака основана на манипулировании данными транзакции, которые жертва вводит в приложение мобильного банкинга, а также данными транзакции, которые показаны жертве приложением аутентификации. 

Атака состоит из следующих шагов:

  1. Жертва запускает приложение мобильного банкинга, вводит данные транзакции (например, номер счета получателя, сумму денег) и передает транзакцию на банковский сервер.
  2. Злоумышленник перехватывает и манипулирует транзакцией. Например, он может изменить номер счета получателя и сумму денег. Злоумышленник отправляет манипулируемую транзакцию на банковский сервер.
  3. Приложение мобильного банкинга предлагает жертве подтвердить и подтвердить транзакцию в приложении аутентификации. Последнее приложение, которое находится под контролем злоумышленника, показывает исходные данные транзакции жертве. Поскольку пострадавший считает сделку правильной, он подтверждает это. Однако в действительности приложение аутентификации генерирует подпись или TAN поверх данных транзакции и возвращает их в приложение мобильного банкинга.
  4. В приложении мобильного банкинга жертва подтверждает, что подпись (TAN) может быть отправлена на банковский сервер.
  5. Банковский сервер получает подпись, проверяет, соответствует ли она манипулируемой транзакции, и выполняет манипулированную транзакцию.

Атака реализована с использованием вредоносного ПО, использующего уязвимость повышения привилегий на мобильном устройстве для получения корневого доступа к устройству.

Основная причина атаки заключается в том, что схемы аутентификации на основе приложений с обменом данными между приложениями реализуются полностью на одном мобильном устройстве. Мобильные устройства - это открытые многоцелевые устройства со сложной архитектурой безопасности. Атака не использует уязвимость в продуктах OneSpan CRONTO для мобильных устройств. 

Переупаковка обнаружения с помощью RASP

Одно из приложений аутентификации, описанных в статье Хауперта и Мюллера, защищено с помощью технологии самозащиты исполняемых приложений (RASP) от OneSpan. RASP предоставляет большое количество сервисов безопасности для мобильных приложений, таких как обнаружение root, обнаружение переупаковки, обнаружение внедрения кода и защита отладчика. 

Исследователи отмечают, что им удалось обойти обнаружение переупаковки RASP. OneSpan подтверждает, что исследователи использовали слабость своей технологии RASP. Однако использование этой слабости требует высоко адаптированной атаки, которую сложно выполнить. OneSpan назначает низкую вероятность возникновения этой атаки по причинам, изложенным ниже. Кроме того, VASCO выпустит патч на неделе 17 октября, чтобы устранить слабость.

Оценка риска для атаки

OneSpan назначает низкую вероятность возникновения атаки манипулирования транзакциями по нескольким причинам:

Функциональность вредоносного ПО, используемого для выполнения атаки, очень продвинута и, безусловно, гораздо более продвинута, чем функциональность вредоносного ПО, которую OneSpan наблюдает сегодня «в дикой природе». Уровень сложности вредоносного ПО, используемого исследователями, в настоящее время наблюдается только в исследовательских лабораториях. Атака работает только в контролируемой среде.

Исследователи предполагают, что целевые мобильные устройства подвержены уязвимости повышения привилегий, которая позволяет вредоносному ПО рутировать устройство, и пользователь этого не замечает. Хотя такие уязвимости существуют, они, как правило, требуют разных методов эксплуатации на разных типах устройств и операционных систем. Это затрудняет запуск атаки против большого количества пользователей.

Исследователи предполагают, что вредоносное ПО может получить root-доступ на устройстве. Хотя рутирование мобильного устройства одного типа может быть выполнено относительно легко в контролируемой среде лаборатории, получить root-доступ к большому количеству устройств значительно сложнее.

Чтобы успешно выполнить эту атаку, злоумышленнику нужен способ заставить пользователя установить целевое вредоносное ПО на устройство жертвы. Это требует формы социальной инженерии, ориентированной на отдельных пользователей.

Многие мобильные банковские приложения накладывают ограничение на количество денег, которые могут быть переведены. Следовательно, возможная экономическая отдача для противника является относительно низкой по сравнению с необходимыми усилиями.

Смягчение атаки

OneSpan рекомендует смягчить атаку манипулирования транзакциями следующим образом:

OneSpan рекомендует использовать технологию самозащиты во время выполнения приложений (RASP) для защиты мобильных приложений. RASP гарантирует, что количество усилий и уровень знаний, необходимых для проведения атаки манипулирования транзакциями, значительно возрастает. На это также указывают сами исследователи.

Чтобы полностью смягчить атаку манипулирования транзакциями, OneSpan рекомендует использовать отдельное аппаратное устройство для аутентификации финансовых транзакций. Как отмечают исследователи, использование выделенного аппаратного устройства для проверки подлинности финансовых транзакций обеспечивает отличную защиту от атак такого типа.

Ссылки

[1] Винсент Хауперт и Тило Мюллер, Об аутентификации матричного кода на основе приложений в онлайн-банке,
https://www1.cs.fau.de/content/app-based-matrix-code-authentication-online-banking

Правовая оговорка

В то время как КАЖДЫЙ РАЗУМНЫЙ УСИЛИЯ СДЕЛАН ДЛЯ ОБРАБОТКИ И ПРЕДОСТАВЛЕНИЯ ТОЧНОЙ ИНФОРМАЦИИ, ВСЕ СОДЕРЖАНИЕ И ИНФОРМАЦИЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ ПРЕДОСТАВЛЯЕТСЯ «КАК ЕСТЬ» И «КАК ДОСТУПНО», БЕЗ КАКИХ-ЛИБО ПРЕДСТАВЛЕНИЯ ИЛИ ПРИГОДНОСТИ ИЛИ В СООТВЕТСТВИИ С ИСПОЛЬЗОВАНИЕМ НИКАКОГО СРОКА ПОЛНОСТЬЮ ИЛИ ПОДХОДА ИЛИ ЛЮБОЙ ГАРАНТИИ, ВКЛЮЧАЯ ГАРАНТИИ ТОВАРНОГО ОБЕСПЕЧЕНИЯ ИЛИ ПРИГОДНОСТИ ДЛЯ ОСОБЕННОГО ИСПОЛЬЗОВАНИЯ ИЛИ ЦЕЛИ. ВЫ ИСПОЛЬЗУЕТЕ ЭТОТ ДОКУМЕНТ, ПРЕДОСТАВЛЯЕТСЯ ЛЮБАЯ ИНФОРМАЦИЯ ИЛИ МАТЕРИАЛЫ, СВЯЗАННЫЕ С ЭТОМ ДОКУМЕНТОМ, НА СВОЙ СТРАХ И РИСК. VASCO оставляет за собой право изменять или обновлять информацию в этом документе в любое время и по своему усмотрению, а также когда новая или дополнительная информация становится доступной.

Copyright © 2016 VASCO Data Security, Inc., VASCO Data Security International GmbH. Все права защищены.

Atta Смягчение атак манипулирования транзакциями по схеме аутентификации на основе приложений s