Itt a kétfaktor, hol a kétfaktor?

2019. június 21. 09:28 - Csizmazia Darab István [Rambo]

Az ESET szakemberei nemrégiben olyan hamis kriptovaluta alkalmazásokat fedeztek fel, amelyek eddig még nem látott technikával játsszák ki az SMS-alapú kétfaktoros azonosítást (2FA), megkerülve a Google nemrégiben életbe lépett korlátozásait. Mint emlékezetes, a Google 2019. márciusában tiltotta be az androidos alkalmazások esetében az SMS-üzenetekhez és hívásokhoz való hozzáférést, hogy megelőzze azok rosszindulatú felhasználását, aminek egyik korábbi emlékezetes esete volt például a magyar banki SMS-eket lopó Zeus kártevő variáns.

A "BTCTurk Pro Beta," "BtcTurk Pro Beta" és "BTCTURK PRO" elnevezésű programok egy török kriptovaluta kereskedő, a BtcTurk alkalmazásának adják ki magukat, és céljuk a belépési adatok megszerzése. A kétfaktoros azonosításhoz szükséges SMS-üzenetek megzavarása helyett a trójai alkalmazások az egyszer használatos jelszavakat (one-time passwords - OTP) szerzik meg, az eszköz képernyőjén megjelenő hamis figyelmeztetések révén.

A 2FA értesítések olvasása mellett a preparált alkalmazások el is tüntetik ezeket, így a felhasználók nem értesülnek a jogosulatlan tranzakciókról. Mindhárom kártékony alkalmazás 2019. júniusában jelent meg a Google Play áruházban, azonban az ESET figyelmeztetése után eltávolításra kerültek.

Hogyan működik mindez? Miután a hamis BtcTurk alkalmazások telepítésre kerültek, engedélyt kérnek az értesítésekhez való hozzáféréshez (Notification access). Ezután az alkalmazások így már tudják olvasni a készüléken más alkalmazások értesítéseit, sőt törölhetik vagy el is tudják tüntetni ezeket, illetve ha van kattintható gomb az értesítésekben, akkor a felhasználó beavatkozása nélkül észrevétlenül jóvá is hagyhatják a tranzakciókat a nevünkben.

Az ESET elemzése szerint a támadók kifejezetten az SMS és email alkalmazások által küldött jóváhagyó értesítéseket célozzák a támadás során.

A Google 2019 márciusától induló korlátozásainak egyik pozitív hatása az volt, hogy a hitelesítő adatokat ellopó alkalmazások többé nem tudtak visszaélni az SMS-alapú kétfaktoros azonosítási mechanizmusokkal. Most azonban, ezeknek a hamis alkalmazásoknak a felfedezésével, láthattuk az első olyan kártevőt, amely képes megkerülni ezt a korlátozást.

Az értesítésekhez való hozzáférési engedélyt az Android Jelly Bean 4.3 verziójában vezették be, ami azt jelenti, hogy szinte minden aktív androidos készüléket érint ez az új módszer. A hamis BtcTurk alkalmazások az Android 5.0-ás (KitKat) és újabb verziókra érhető el, így az androidos eszközök körülbelül 90 százalékát érinti.

A 2FA azonosítás megkerülésének hatékonysága terén, ennek a technikának is megvannak a határai: a támadók, csak az értesítés terjedelmének megfelelő szöveghez férnek hozzá, így nem garantált, hogy ez a rész tartalmazza az egyszer használatos jelszavakat.

Az SMS-ekben a 2FA üzenetek általában rövidek, és ezért az egyszer használatos jelszavak (OTP-k) beférhetnek ebbe a terjedelembe. Az e-mailes azonosítások azonban általában hosszabbak, így emiatt e támadási módszer ellen védettebbek. Az újonnan felfedezett androidos kártevőről további részleteket a WeLiveSecurity.com weboldalon lehet olvasni.

Végül pedig lássuk, mit is tehetnek a felhasználók, hogyan védhetjük meg magunkat ezen új módszerek, illetve általában az androidos kártevők ellen!

- Csak akkor bízzunk meg a kriptovalutás és más pénzügyi alkalmazásokban, ha a szolgáltatás hivatalos webhelyén lévő link vezet a Google Play áruházba.

- Csak akkor adjuk meg személyes adatainkat az online formanyomtatványokban, ha biztosak vagyunk abban, hogy azok biztonságosak és hivatalosak.

- Folyamatosan frissítsük készülékeinken mind az Android hibajavításait, mind pedig az alkalmazásokat.

- Használjunk megbízható mobilbiztonsági megoldást a fenyegetések blokkolásához és eltávolításához; Az ESET megoldásai észlelik és blokkolják ezeket a rosszindulatú alkalmazásokat, emellett arra is lehetőséget kínálnak, hogy biztonsági audit keretében bármikor felülvizsgálhassuk alkalmazásaink hozzáférési engedélyeit. Amikor csak lehetséges, használjunk szoftver alapú vagy hardveres tokeneket az egyszer használatos jelszavak generálásához, az SMS vagy e-mail helyett.

- Csak olyan alkalmazásokat használjunk, amelyeket megbízhatónak ítélünk, és még ezek esetében is csak azoknál engedélyezzük az értesítésekhez való hozzáférést, amelyeknek jogszerű oka van ezt kérni.

8 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr5814904872

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Cobra. 2019.06.22. 13:41:58

Ok, de mit kezd az egyszer használatos jelszóval, ami jön az smsben?

Alec 2019.06.22. 19:39:20

@Cobra.: hitelesiti vele a nevedben inditott tranzakciot

Jankove 2019.06.22. 21:24:09

@Cobra.: "Ok, de mit kezd az egyszer használatos jelszóval, ami jön az smsben? "

Nyilván önmagában semmit nem ér. Olyan ez mint a páncélszekrény ami két kulcs egyidejű használatával nyílik. Ha mindkettő illetéktelen kézbe kerül, akkor van baj.

Androsz · http://migransozo.blog.hu 2019.06.22. 23:32:54

"Csak akkor bízzunk meg a kriptovalutás és más pénzügyi alkalmazásokban, ha a szolgáltatás hivatalos webhelyén lévő link vezet a Google Play áruházba."

Nekem jobban tetszene az, ha a Google Play áruház felelősséget vállalna a cuccaiért.

John Doe3 2019.06.22. 23:44:26

Szerény véleményem szerint az Android egy inherensen hibás rendszer, így használata kiküszöbölhetetlen kockázatokkal jár. A következtetést mindenkinek magának kell levonnia.

Jankove 2019.06.23. 00:09:17

@John Doe3: Túl sok alternatíva nincs, az a baj.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2019.06.23. 08:55:19

@Mindenki

Hát igen, az Android olyan, amilyen, de a penetrációja 80% körüli-feletti. A GP felelősség vállalása ... na ide valamilyen vicces smile illene, persze egy kicsivel több tényleg jobb lenne. No meg mivel 100%-os védelem továbbra sem létezik, ezt nem várhatjuk el.

Valószínűleg most jönnek majd további a lelkes malwarekészítők, próbálva majd 2FA-t lopni, AV-t meg egyelőre sajnos még elég kevesen tesznek a mobiljukra.

nick2012 2019.06.25. 07:02:49

Nem kell túlgondolni ezt. 2FA legyen 2FA. "Burner phone" 3G üzemmódban, prepaid SIM - 3e Ft. IMSI catcher ellen nem feltétlen véd persze.
Amúgy meg nem muszáj Androidot használni.