*[ Seguridad en dispositivos móviles ]
Autor: David Barroso
Fecha: 26 de Abril de 2011
Lugar: Madrid, España
Primera pregunta
¿Arquitectura
abierta o cerrada?
Aspectos de seguridad a tener en cuenta
Seguridad física
Cifrado de datos
Autenticación
Safe browsing (exploits o phishing)
Sistema Operativo seguro
Sandboxing (permisos)
Privacidad
Malware
Actualizaciones y distribución de paquetes
Notificaciones Push
¿¿¿¿Enterprise????
Segunda pregunta
¿Recomendaríais
un iPad u otro
tablet en una
empresa?
¿¿Enterprise??
PIN
Borrado remoto
Política de seguridad
Cifrado (FDE, correo, voz, SMS)
Aplicaciones
Redes, VPN
Certificados
Mobile Device Management (MGM)
• Ejemplo: iPhone Configuration Tool
Tercera pregunta
¿Utilizáis AV en
vuestros móviles?
Los datos. Malware en dispositivos móviles
Métodos de infección
Ingenieria social
Warez apps
• Black Markets
Vulnerabilidades o configuraciones débiles
(ejemplo Wifi)
09Droid
Abbey Bank
Alaska USA FCU
Alliance & Leicester
Bank Atlantic
Bank of America
Bank of Queensland
Barclaycard
Barclays
BB&T
Chase
City Bank Texas
Commerce Bank
Compass Bank
Deutsche Bank
Fifty Third Bank
First Republic Bank
Great Florida Bank
LloydsTSB
M&I Mechanics Bank
MFFCU
MidwestNationwide
NatWest (v. 1.1)
Navy Federal Credit Union
PNC
Royal Bank of Canada
RBS
SunTrust
TD Bank
US Bank
USAA
Valley Credit Union
Wachovia Corp
Wells Fargo
Pág. 9
El propio operador
Pág. 10
Cuarta pregunta
¿Qué otra persona,
empresa te puede
instalar algo así?
Tu novio/a, pareja, padre, madre, etc.
Pág. 12
¿Solución?
Pág. 13
Quinta pregunta
¿Confiáis en las
revisiones que se
hacen en las
tiendas?
Analicemos el comportamiento
Las herramientas no están tan depuradas como en
el mundo Microsoft (IDA rulez! o gdb)
• Ejemplo: tráfico (tcpdump, o wifi + hub)
Android: dex2jar + jad pero difícil de automatizar
(buscar APIs peligrosas)
BlackBerry: casi imposible el reversing
Symbian: ideal el .sisx
Windows Mobile: más sencillo
Hay que familiarizarse con el API de cada
plataforma
ARM es nuestra nueva religión
Privacidad
TaintDroid http://appanalysis.org/demo/index.html
iPhone Privacy
http://seriot.ch/resources/talks_papers/iPhonePriva
cy.pdf
iPhone Location Tracking
http://radar.oreilly.com/2011/04/apple-location-
tracking.html
Skype en Android
http://blogs.skype.com/security/2011/04/privacy_vul
nerability_in_skype.html
Ikee Worm
Primer código malicioso para iPhone
Ashley Towns, 21 años
Australia
SSH Scanning
Ikee Worm
Ikee iPhone Worm (alpine):
“<ikee> Secondly I was quite amazed by the
number of people who didn't RTFM and change
their default passwords.”
Segundo iPhone Worm (ohshit!):
• Roba información
• Es una botnet con dos C&C
• Afecta a bancos holandeses
• Ya no es sólo un script de prueba sino que tiene
un proceso malicioso (sshd)
El primer malware ‘importante’ en Android: Geinimi
http://blog.mylookout.com/_media/Geinimi_Trojan_
Teardown.pdf
Cifrado (DES 56 bits) + ofuscación
Recibe órdenes de un C&C
• Borrar SMS
• ‘Robar’ SMS
• Llamar a un número aleatorio
• Abrir navegador
• Instalar APK
• Listar aplicaciones
El incidente Mitmo
Background
Consiguiendo el teléfono
Consiguiendo el telefono
Conseguiendo el teléfono
El SMS
Spoofed SMS
Sender ID
ID Token
(importante!)
Ciclo de vida del fraude
1.Infección del ordenador
2.Robo de credenciales
3.Transferencia fraudulenta
4.Cash out
Ciclo de vida del fraude (actualizada)
1.Infección del ordenador
2.Robo de credenciales
3.Infección del móvil
4.Robo OTP-SMS
5.Transferencia fraudulenta
6.Cash out
ZeuS - Mitmo
El usuario se infecta con ZeuS 2.x
Robo de credenciales
El código inyectado JavaScript pide también la
marca, modelo y número de teléfono
El usuario recibe un SMS con un enlace a una
aplicación móvil
El usuario instala la aplicación móvil que intercepta
los SMS
ZeuS Mitmo - Comandos
BLOCK ON: ignora llamadas
BLOCK OFF: deshabilita ignorar
SET ADMIN: cambia el número del C&C SMS
ADD SENDER: añade número a interceptar
ADD SENDER ALL: intercepta todos los SMS
REM SENDER: quita un número a interceptar
REM SENDER ALL: quita toda la interceptación
SET SENDER: actualiza información de un contacto
ZeuS Mitmo - Comandos
http://dtarasov.ru/smsmonitor_lite.html
ZeuS Mitmo - Certificados
Serial Number:
BF43000100230353FF79159EF3B3
Revocation Date: Sep 28 08:26:26
2010 GMT
Serial Number:
61F1000100235BC2794380405E52
Revocation Date: Sep 28 08:26:26
2010 GMT
Respuesta ante incidentes
Bloqueo del envío de SMS al SMS C&C desde
todos los operadores
Revocar el certificado de la aplicación móvil (Nokia)
Alerta temprana e informes para clientes
Compartición de binarios entre AV y empresas
Búsqueda activa de otras plataformas (BlackBerry y
Windows Mobile)
Windows Mobile
if ($urlPathExt == 'cab') {
$oGate->addHeader('Content-Type: application/cab');
if ($data['mobile_os_type'] == OS_WINDOWS_MOBILE_2K) $oGate-
>outputFile('./wm/cert_uncompress.cab.txt');
else if ($data['mobile_os_type'] == OS_WINDOWS_MOBILE_GR5)
$oGate->outputFile('./wm/cert_compress.cab.txt');
}
Symbian
if ($urlPathExt == ’sis') {
$oGate->addHeader('Content-Type: application/vnd.symbian.install');
if ($data['mobile_os_type'] == OS_SYMBIAN_78)
$oGate->outputFile('./symbian/cert_78.sis.txt');
else if ($data['mobile_os_type'] == OS_SYMBIAN_9)
$oGate->outputFile('./symbian/cert_9.sis.txt');
}
BlackBerry
if ($urlPathExt == ’cod') {
$oGate->addHeader('Content-Type: application/vnd.rim.cod');
if ($data['mobile_os_type'] == OS_BLACKBERRY_41)
$oGate->outputFile('./blackberry/cert_41.cod.txt');
else if ($data['mobile_os_type'] == OS_BLACKBERRY_GR44)
$oGate->outputFile('./blackberry/cert_41.cod.txt');
}
¿Recuerda el token del SMS?
mysql_unbuffered_query("UPDATE sms_list
SET
mobile_os_version=$mobile_os_version,
is_downloaded='YES',
ts_downloaded=$ts_downloaded WHERE
token='$token'");
Conclusiones del incidente
SMS como autenticación OOB:
• Si implementa medidas OOB está demostrado que los atacantes
intentarán saltarselas (OTP SMS)
SMS como notificación OOB:
• Posibilidad de interceptación.
La parte de SMS está muy integrada en el
ZeuS C&C, y creemos que en las próximas
versiones será un plugin.
Conclusiones del incidente
Firmar aplicaciones móviles no sirve de nada si:
• El fabricante no analiza las aplicaciones
• No se comprueba el certificado de revocación
¿Es más fácil perseguir a los atacantes si usan
móviles?
El malware para el móvil es ya una realidad (incluso
en Android)
NFC – Near Field Communications
http://www.youtube.com/watch?v=pNSF1RxzJtg
A investigar
Infecciones desde el móvil a un ordenador
Malware multi-plataforma?
NFC
¿Vuelven los dialers?
¿Los SMS sirven para más cosas?
Covert channels en nuevos protocolos
IPV6??
In-game purchases
Localización por Wifi, GPS, celda, 4square
¿Qué pasó con Bluetooth?
*[ MUCHAS GRACIAS ]
David Barroso
S21sec e-crime Director
[email protected]
http://blog.s21sec.com
lostinsecurity
Pág. 42
Comentarios de: Evolución de la tecnología y sus riesgos - Seguridad en dispositivos móvlies (0)
No hay comentarios