PDF de programación - Evolución de la tecnología y sus riesgos - Seguridad en dispositivos móvlies

*[ Seguridad en dispositivos móviles ]

Autor: David Barroso
Fecha: 26 de Abril de 2011
Lugar: Madrid, España

Primera pregunta

¿Arquitectura
abierta o cerrada?

Aspectos de seguridad a tener en cuenta

Seguridad física
Cifrado de datos
Autenticación
Safe browsing (exploits o phishing)
Sistema Operativo seguro
Sandboxing (permisos)
Privacidad
Malware
Actualizaciones y distribución de paquetes
Notificaciones Push
¿¿¿¿Enterprise????

Segunda pregunta

¿Recomendaríais
un iPad u otro
tablet en una
empresa?

¿¿Enterprise??

PIN
Borrado remoto
Política de seguridad
Cifrado (FDE, correo, voz, SMS)
Aplicaciones
Redes, VPN
Certificados
Mobile Device Management (MGM)
• Ejemplo: iPhone Configuration Tool

Tercera pregunta

¿Utilizáis AV en
vuestros móviles?

Los datos. Malware en dispositivos móviles

Métodos de infección

Ingenieria social
Warez apps
• Black Markets
Vulnerabilidades o configuraciones débiles
(ejemplo Wifi)

09Droid

Abbey Bank
Alaska USA FCU
Alliance & Leicester
Bank Atlantic
Bank of America
Bank of Queensland
Barclaycard
Barclays
BB&T
Chase
City Bank Texas
Commerce Bank
Compass Bank
Deutsche Bank
Fifty Third Bank

First Republic Bank
Great Florida Bank
LloydsTSB
M&I Mechanics Bank
MFFCU
MidwestNationwide
NatWest (v. 1.1)
Navy Federal Credit Union
PNC
Royal Bank of Canada
RBS
SunTrust
TD Bank
US Bank
USAA
Valley Credit Union
Wachovia Corp
Wells Fargo

Pág. 9

El propio operador

Pág. 10

Cuarta pregunta

¿Qué otra persona,
empresa te puede
instalar algo así?

Tu novio/a, pareja, padre, madre, etc.

Pág. 12

¿Solución?

Pág. 13

Quinta pregunta

¿Confiáis en las
revisiones que se
hacen en las
tiendas?

Analicemos el comportamiento

Las herramientas no están tan depuradas como en
el mundo Microsoft (IDA rulez! o gdb)
• Ejemplo: tráfico (tcpdump, o wifi + hub)
Android: dex2jar + jad pero difícil de automatizar
(buscar APIs peligrosas)
BlackBerry: casi imposible el reversing
Symbian: ideal el .sisx
Windows Mobile: más sencillo
Hay que familiarizarse con el API de cada
plataforma
ARM es nuestra nueva religión

Privacidad

TaintDroid http://appanalysis.org/demo/index.html
iPhone Privacy
http://seriot.ch/resources/talks_papers/iPhonePriva
cy.pdf
iPhone Location Tracking
http://radar.oreilly.com/2011/04/apple-location-
tracking.html
Skype en Android
http://blogs.skype.com/security/2011/04/privacy_vul
nerability_in_skype.html

Ikee Worm

Primer código malicioso para iPhone
Ashley Towns, 21 años
Australia

SSH Scanning

Ikee Worm

Ikee iPhone Worm (alpine):
“<ikee> Secondly I was quite amazed by the

number of people who didn't RTFM and change
their default passwords.”

Segundo iPhone Worm (ohshit!):
• Roba información
• Es una botnet con dos C&C
• Afecta a bancos holandeses
• Ya no es sólo un script de prueba sino que tiene

un proceso malicioso (sshd)

El primer malware ‘importante’ en Android: Geinimi

http://blog.mylookout.com/_media/Geinimi_Trojan_
Teardown.pdf
Cifrado (DES 56 bits) + ofuscación
Recibe órdenes de un C&C
• Borrar SMS
• ‘Robar’ SMS
• Llamar a un número aleatorio
• Abrir navegador
• Instalar APK
• Listar aplicaciones

El incidente Mitmo

Background

Consiguiendo el teléfono

Consiguiendo el telefono

Conseguiendo el teléfono

El SMS

Spoofed SMS
Sender ID

ID Token
(importante!)

Ciclo de vida del fraude

1.Infección del ordenador
2.Robo de credenciales
3.Transferencia fraudulenta
4.Cash out

Ciclo de vida del fraude (actualizada)

1.Infección del ordenador
2.Robo de credenciales
3.Infección del móvil
4.Robo OTP-SMS
5.Transferencia fraudulenta
6.Cash out

ZeuS - Mitmo

El usuario se infecta con ZeuS 2.x
Robo de credenciales
El código inyectado JavaScript pide también la
marca, modelo y número de teléfono
El usuario recibe un SMS con un enlace a una
aplicación móvil
El usuario instala la aplicación móvil que intercepta
los SMS

ZeuS Mitmo - Comandos

BLOCK ON: ignora llamadas
BLOCK OFF: deshabilita ignorar
SET ADMIN: cambia el número del C&C SMS
ADD SENDER: añade número a interceptar
ADD SENDER ALL: intercepta todos los SMS
REM SENDER: quita un número a interceptar
REM SENDER ALL: quita toda la interceptación
SET SENDER: actualiza información de un contacto

ZeuS Mitmo - Comandos

http://dtarasov.ru/smsmonitor_lite.html

ZeuS Mitmo - Certificados

Serial Number:
BF43000100230353FF79159EF3B3
Revocation Date: Sep 28 08:26:26
2010 GMT
Serial Number:
61F1000100235BC2794380405E52
Revocation Date: Sep 28 08:26:26
2010 GMT

Respuesta ante incidentes

Bloqueo del envío de SMS al SMS C&C desde
todos los operadores
Revocar el certificado de la aplicación móvil (Nokia)
Alerta temprana e informes para clientes
Compartición de binarios entre AV y empresas
Búsqueda activa de otras plataformas (BlackBerry y
Windows Mobile)

Windows Mobile

if ($urlPathExt == 'cab') {
$oGate->addHeader('Content-Type: application/cab');
if ($data['mobile_os_type'] == OS_WINDOWS_MOBILE_2K) $oGate-

>outputFile('./wm/cert_uncompress.cab.txt');

else if ($data['mobile_os_type'] == OS_WINDOWS_MOBILE_GR5)

$oGate->outputFile('./wm/cert_compress.cab.txt');

}

Symbian

if ($urlPathExt == ’sis') {
$oGate->addHeader('Content-Type: application/vnd.symbian.install');
if ($data['mobile_os_type'] == OS_SYMBIAN_78)
$oGate->outputFile('./symbian/cert_78.sis.txt');

else if ($data['mobile_os_type'] == OS_SYMBIAN_9)

$oGate->outputFile('./symbian/cert_9.sis.txt');

}

BlackBerry

if ($urlPathExt == ’cod') {
$oGate->addHeader('Content-Type: application/vnd.rim.cod');
if ($data['mobile_os_type'] == OS_BLACKBERRY_41)

$oGate->outputFile('./blackberry/cert_41.cod.txt');

else if ($data['mobile_os_type'] == OS_BLACKBERRY_GR44)

$oGate->outputFile('./blackberry/cert_41.cod.txt');

}

¿Recuerda el token del SMS?

mysql_unbuffered_query("UPDATE sms_list

SET
mobile_os_version=$mobile_os_version,
is_downloaded='YES',
ts_downloaded=$ts_downloaded WHERE
token='$token'");

Conclusiones del incidente

SMS como autenticación OOB:
• Si implementa medidas OOB está demostrado que los atacantes

intentarán saltarselas (OTP SMS)

SMS como notificación OOB:
• Posibilidad de interceptación.
La parte de SMS está muy integrada en el
ZeuS C&C, y creemos que en las próximas
versiones será un plugin.

Conclusiones del incidente

Firmar aplicaciones móviles no sirve de nada si:
• El fabricante no analiza las aplicaciones
• No se comprueba el certificado de revocación
¿Es más fácil perseguir a los atacantes si usan
móviles?
El malware para el móvil es ya una realidad (incluso
en Android)

NFC – Near Field Communications

http://www.youtube.com/watch?v=pNSF1RxzJtg

A investigar

Infecciones desde el móvil a un ordenador
Malware multi-plataforma?
NFC
¿Vuelven los dialers?
¿Los SMS sirven para más cosas?
Covert channels en nuevos protocolos
IPV6??
In-game purchases
Localización por Wifi, GPS, celda, 4square
¿Qué pasó con Bluetooth?

*[ MUCHAS GRACIAS ]

David Barroso
S21sec e-crime Director
[email protected]
http://blog.s21sec.com

lostinsecurity

Pág. 42