Mobile Insecurity Manno, 28 Settembre 2011 D Amato Luigi
About us n Luigi D Amato: Senior CyberSecurity Consultant e CTO di Security Lab SAGL. Membro ufficiale del chapter italiano dell Honeynet Project Alliance Research. Specializzato in Botnet Analysis, Malware Analysis Monitoring, Tracking, Intelligence, Penetration testing, Vulnerability assesment.
Stistiche n n n Stime IDC: Crescita del 55% rispetto l anno 2010 472 milioni rispetto ai 305 dello scorso anno Si prospetta che nel 2015 si toccherrano quasi 1 miliardo di device mobili Android, Windows Phone / Windows mobile e IOS faranno da padroni
Rischi Azienda - Integrazione di Device mobile in azienda; - Accesso a dati aziendali; - Inserimento di informazioni, file ed altro sui dispositivi mobili; - Spesso NON VIENE GESTITO come un se fosse un pc interno!
Cosa tener presente - Accesso fisico - Secure Data Storage - Strong Authentication - Navigazione internet - Sistema operativo - Application Isolation - Informazion Disclousure
Cosa tener presente (2) - Patching sistema operativo - Trasporto dei dati
Dove puo essere attacchato - GSM / GPRS/ EDGE / Wifi / Bluetooth - SMS/MMS - Attacchi lato client
Cosa puo accedere un attacker? - Documenti - Dettagli sulla navigazione - Email/sms - Registrazione delle telefonate - Appuntamenti - Localizzazione
ios vs Android vs Mobile Apple ios: - Traditional Access Control - Application Provenance - Encryption - Isolation
ios Security File system cifrato, in modo da impedire che in caso di compromissione fisica del dispositivo I dati ossano essere accedibili, possibilità di abilitare il remote wipe Controllo tramite Apple Store delle applicazione immesse, in modo da impedire attacchi quali: malware attacks, data loss attacks, data integrity attacks, and denial of service attacks. Applicazione isolate in mode Impossibilità di accedere a informazioni, mandare SMS messages, o iniziare chiamate senza il permesso del proprietario. Nessuna protezione fornita contro attacchi social engineering per esempio spam e simili
Casi di Malware ios/ Fake - Aurora Feint = 2008 gioco che copiava I contatti - Storm8 = applicazione scaricata da 20 milioni di utenti, trasferiva il numero di telefono dal device sui server Storm8 - IphoneOs.Ikee = Hacking device ios jailbroken
Android - Traditional Access Control - Application Provenance - Encryption - Isolation
- Filesystem cifrato ma non noto i dettagli Android Security Le applicazioni possono stabilire connessioni di reti utilizzando le tecnologie disponibili; Le applicazioni possono accedere ai dettagli del DEVICE, IMEI, numero, dettagli sim card, IMSI. Queste informazioni possono essere utilizzate per effettuare frodi telefoniche Possibilità di inviare intercettare messaggi, mail, chiamate senza l interazione dell utente Possibilità di accedere alle SD - Log della navigazione lnternet e le varie applicazioni installate e attive
Windows Phone 7 - Chambers - Capabilities - Sandbox - Application deployment
Possibili attacchi - Web-Based Attacks - Malware Attacks - Social Engineering attacks - Service Attacks - Data Loss - Data Integrity
Malware for profit - J2ME/Redbrowser.A Primo trojan 2006 - Accesso WAP web page via SMS
In realtà? - Inviava a insaputa della persona sms a numeri premium
J2ME/Wesber.A - Si installa tramite un applicazione pomoshnik.jar
In realtà? - Inviava sms ad un numero 1717 russo
J2ME/SMSFree - Applicazione per inviare SMS anonimi
In realtà? -Inviava sms a servizi premium nei seguentipaesi: - Russia (5 SMS) Ukraine (4 SMS) Kazakhstan (4 SMS)
J2ME/Vkonpass.A - Applicazione per la gestione dei social network
In realtà? - Collezione di account da rivendere - Utilizzo come veicolo di diffusione come malware / adware/ spyware - Raccolta mail da rivedendere per phishing mirato
Android/Geinimi.A - Codice malevolo inserito in diverse applicazioni apparentemente legittime
- In realtà cosa faceva?
In realtà cosa faceva - Ecrypton backdoor command, C&C URL - In ascolto sulla porta 5432 per l handshaking
Soundcomber - Intercettazione di chiamate - Identificazione passi per IVR - Capacità di processare audio per riconoscimento di informazioni su carte di credito
Esempio 1) Utente chiama compagnia carta di credito
Esempio - Soundcomber inizia l operazioni di analisi
Esempio - Carta di credito identificata e inviata verso il server remoto
Esempio - Identificazione Carta di credito via DTMF
Malware for profit 2 - Click Fraud, Black Hat SEO - Generazione di traffico, pay-per-click(ppc) ads - Stealing Accounts(Skype, QQ, SIM balances, bank)
Bank??? - Zitmo = Malware della famiglia Zeus portato sul mobile - Piattaforme interessate: - - Android - - BlackBerry - - Symbian - - Windows Mobile
Come funziona
Exploit Android - Possibilità di ottenere informzioni dettagliate sfruttando una vulnerabilità del browser - Versione vulnerabile <= 2.2
- Metasploit
Exploit
Android exploit
Exploit - Accediamo con il nostro tablet/smartphone al nostro server - http://192.168.1.135:8080/payload.html/q
Exploit
Come posso ottenre un risultato migliore? - QR code ex sito:
Adesso ci divertiamo - Creazione di un finto sito che sfrutta una vulnerabilità dello smartphone - Creazione del QR code: ex: - http://qrcode.kaywa.com/
QR CODE
Come posso diffondere?
Defacement!!
Conclusioni - Formazione - Implementare misure MDM - Molto importanti saranno i repository delle applicazioni - Installare applicazioni che controllano questo tipo di problematiche
Thank you for your attention! Q&A luigi.damato@sec-lab.com