"Безопасность банковских мобильных приложений", Тимур Юнусов

Slide 1

Slide 1 text

No content

Slide 2

Slide 2 text

Актуальные проблемы безопасности мобильного банкинга Юнусов Тимур Старший эксперт, Руководитель отдела безопасности банковских систем Positive Technologies 2016

Slide 3

Slide 3 text

What this talk is about? • Статистика и проблематика • СМС – удобно или безопасно? • Уязвимости и MVC • Небезопасность безопасной криптографии • Уязвимости клиентских приложений • Еще одна ложечка дегтя • Границы скоупа

Slide 4

Slide 4 text

Статистика (банки из топ100)

Slide 5

Slide 5 text

Вечный компромисс между удобством и безопасностью

Slide 6

Slide 6 text

Почему ―Потери от мошенничества в банках растут ежегодно (26% в 2015г) • Атаки на пользователей • Атаки на банки

Slide 7

Slide 7 text

Почему ―Потери от мошенничества в банках растут ежегодно (26% в 2015г) • Атаки на пользователей • Атаки на банки • Атаки на пользователей через проблемы банков • Атакуют всегда самое слабое звено

Slide 8

Slide 8 text

Двухфакторная аутентификация Знаю (пароль), обладаю (устройство): ―Одноразовые пароли (СМС, генераторы OTP, чеки) ―Криптоподпись операций (токены, клиентские сертификаты) ―Остальное (голосовая аутентификация, кодовое слово и т.д.)

Slide 9

Slide 9 text

Двухфакторная аутентификация

Slide 10

Slide 10 text

Двухфакторная аутентификация

Slide 11

Slide 11 text

Мобильный банк?

Slide 12

Slide 12 text

Требования к одноразовому паролю ―3 попытки на пароль ―Временное блокирование ―Длина – тоже мера!

Slide 13

Slide 13 text

ДА в банковских продуктах для физлиц ―Одноразовые пароли в СМС • Вход в систему • Критичные операции • Финансовые операции

Slide 14

Slide 14 text

Что может пойти не так?

Slide 15

Slide 15 text

Проблемы ―Проблемы на стороне банка ―Проблемы на устройстве ―Проблемы в канале ―Проблемы на стороне клиента в банке

Slide 16

Slide 16 text

Проблемы на стороне банка ―Бизнес-логика / Логика? ―Атаки на ГПСЧ ―Другие методы

Slide 17

Slide 17 text

Бизнес-логика ―Пример 1

Slide 18

Slide 18 text

Бизнес-логика ―Пример 2

Slide 19

Slide 19 text

Бизнес-логика ―Пример 3 POST /templates/ HTTP/1.1 Host: mobilehost fields_object={ "account_" : "34909312", "amount" : "150.00", "debitid" : "2476178" }

Slide 20

Slide 20 text

Бизнес-логика ―Пример 3 fields_object={ "account_" : "34909312", "amount" : "150.00", "debitid" : "2476178" }

Slide 21

Slide 21 text

Бизнес-логика ―Пример 4 POST /activate/ HTTP/1.1 Host: mobilehost otp_code=27291&transaction_id=******** POST /activate/ HTTP/1.1 Host: mobilehost otp_code=27291&transaction_id=******** POST /activate/ HTTP/1.1 Host: mobilehost otp_code=27291&transaction_id=******** POST /activate/ HTTP/1.1 Host: mobilehost otp_code=27291&transaction_id=********

Slide 22

Slide 22 text

Бизнес-логика ―Пример 5 POST /activate/ HTTP/1.1 Host: mobilehost transaction_id=******** POST /activate/ HTTP/1.1 Host: mobilehost transaction_id=******** POST /activate/ HTTP/1.1 Host: mobilehost transaction_id=******** POST /activate/ HTTP/1.1 Host: mobilehost transaction_id=******** POST /activate/ HTTP/1.1 Host: mobilehost otp_code=27291

Slide 23

Slide 23 text

Бизнес-логика ―Пример 6 POST /activate/ HTTP/1.1 Cookie: {EMPTY} Host: otherhost.bankhost otp_code=27291 HTTP/1.0 301 Moved Permanently Location: https://bankhost/auth/?login=ivanov

Slide 24

Slide 24 text

Бизнес-логика ―Пример 7 • 3 попытки на пароль • Временное блокирование • Постоянное блокирование 12345; 12346; 12347

Slide 25

Slide 25 text

ГПСЧ ―Java: Java.util.Random(), Math.random(), java.security.SecureRandom(); ―Windows: LCG

Slide 26

Slide 26 text

Другие методы ―SQLi ―XXE/SSRF • XXE+WebLogic admin ―Remote Code Injection/Execution

Slide 27

Slide 27 text

Проблемы на стороне клиента в банке ―Атаки на клиентов: • Clickjacking/UI redress —X-Frame-Options (27%-33%) • XSS (36%)

Slide 28

Slide 28 text

(Бес)Полезные смс

Slide 29

Slide 29 text

Есть ли что-то лучше? ―Мобильные приложения ―SIM Applets ―Динамическая верификация кода (DCV)

Slide 30

Slide 30 text

Аутентификация и авторизация. MVC • Доступ по абсолютным id - зло! • Ограничения завязаны на сессию, а не на учетную запись. • Никто не мешает менять идентификаторы в запросах, даже если все защищенно от SSL Pinning => атаки на бизнес-логику

Slide 31

Slide 31 text

Такая небезопасная криптография

Slide 32

Slide 32 text

Атаки на криптографию • Padding Oracle • Signature bypass (sigwrapping, hash extension, etc) • SSL pinning • Импорт сертификата • Перехват вызовов функций

Slide 33

Slide 33 text

Атаки НАД криптографией • SQLi прямо из интерфейса • RE мобильных приложений

Slide 34

Slide 34 text

А еще ведь есть клиентское ПО

Slide 35

Slide 35 text

Проблемы в канале ―Интернет • Заголовок HSTS (36%-38%) ―2G/3G/LTE

Slide 36

Slide 36 text

Мобильный интернет ―Перехват радиосигнала+Kraken ―FakeBTS ―Клонирование SIM ―Перевыпуск SIM ―Атаки на SS7 http://bit.ly/1mHgZ9j ―Недостатки СМС/USSD

Slide 37

Slide 37 text

http://bit.ly/1QIvMJ9

Slide 38

Slide 38 text

Проблемы на устройстве ―Банковская мобильная малварь • Q3/2015 = 4 * Q2/2015 ―Jailbreak detection ―Недостатки мобильных приложений

Slide 39

Slide 39 text

Slide 40

Slide 40 text

Проблемы на устройстве ―Пример 1 • BroadcastReceiver

Slide 41

Slide 41 text

Проблемы на устройстве ―Пример 2 • SIM Applications spoofing/intercepting

Slide 42

Slide 42 text

Еще??? Хватит уже… • RCE и доступ без авторизации через javascript внутри java • Авторизация под чужим логином

Slide 43

Slide 43 text

Решения ―Взаимодействие с операторами • IMSI ―Корректная реализация алгоритма на сервере и мобильном клиенте ―Защита периметра ―Обучение клиентов и сотрудников ―Антифрод

Slide 44

Slide 44 text

Статистика 2015 ―27% проектов не содержали уязвимостей ―36% содержали XSS, которые помогали злоумышленникам в фишинговых атаках и обходе механизмов ДА ―54% проектов некорректно реализовывали механизмы ДА, что позволяло их обходить тем или иным способом.

Slide 45

Slide 45 text

«Проверьте мне мобильный банк» (с) Заказчик • На одном хосте находится несколько приложений • А чем мне опасно хищение денег? • Тестовый контур VS Промышленная среда