Mobile Insecurity. Manno, 28 Settembre 2011 D Amato Luigi

Mobile Insecurity Manno, 28 Settembre 2011 D Amato Luigi

About us n Luigi D Amato: Senior CyberSecurity Consultant e CTO di Security Lab SAGL. Membro ufficiale del chapter italiano dell Honeynet Project Alliance Research. Specializzato in Botnet Analysis, Malware Analysis Monitoring, Tracking, Intelligence, Penetration testing, Vulnerability assesment.

Stistiche n n n Stime IDC: Crescita del 55% rispetto l anno 2010 472 milioni rispetto ai 305 dello scorso anno Si prospetta che nel 2015 si toccherrano quasi 1 miliardo di device mobili Android, Windows Phone / Windows mobile e IOS faranno da padroni

Rischi Azienda - Integrazione di Device mobile in azienda; - Accesso a dati aziendali; - Inserimento di informazioni, file ed altro sui dispositivi mobili; - Spesso NON VIENE GESTITO come un se fosse un pc interno!

Cosa tener presente - Accesso fisico - Secure Data Storage - Strong Authentication - Navigazione internet - Sistema operativo - Application Isolation - Informazion Disclousure

Cosa tener presente (2) - Patching sistema operativo - Trasporto dei dati

Dove puo essere attacchato - GSM / GPRS/ EDGE / Wifi / Bluetooth - SMS/MMS - Attacchi lato client

Cosa puo accedere un attacker? - Documenti - Dettagli sulla navigazione - Email/sms - Registrazione delle telefonate - Appuntamenti - Localizzazione

ios vs Android vs Mobile Apple ios: - Traditional Access Control - Application Provenance - Encryption - Isolation

ios Security File system cifrato, in modo da impedire che in caso di compromissione fisica del dispositivo I dati ossano essere accedibili, possibilità di abilitare il remote wipe Controllo tramite Apple Store delle applicazione immesse, in modo da impedire attacchi quali: malware attacks, data loss attacks, data integrity attacks, and denial of service attacks. Applicazione isolate in mode Impossibilità di accedere a informazioni, mandare SMS messages, o iniziare chiamate senza il permesso del proprietario. Nessuna protezione fornita contro attacchi social engineering per esempio spam e simili

Casi di Malware ios/ Fake - Aurora Feint = 2008 gioco che copiava I contatti - Storm8 = applicazione scaricata da 20 milioni di utenti, trasferiva il numero di telefono dal device sui server Storm8 - IphoneOs.Ikee = Hacking device ios jailbroken

Android - Traditional Access Control - Application Provenance - Encryption - Isolation

- Filesystem cifrato ma non noto i dettagli Android Security Le applicazioni possono stabilire connessioni di reti utilizzando le tecnologie disponibili; Le applicazioni possono accedere ai dettagli del DEVICE, IMEI, numero, dettagli sim card, IMSI. Queste informazioni possono essere utilizzate per effettuare frodi telefoniche Possibilità di inviare intercettare messaggi, mail, chiamate senza l interazione dell utente Possibilità di accedere alle SD - Log della navigazione lnternet e le varie applicazioni installate e attive

Windows Phone 7 - Chambers - Capabilities - Sandbox - Application deployment

Possibili attacchi - Web-Based Attacks - Malware Attacks - Social Engineering attacks - Service Attacks - Data Loss - Data Integrity

Malware for profit - J2ME/Redbrowser.A Primo trojan 2006 - Accesso WAP web page via SMS

In realtà? - Inviava a insaputa della persona sms a numeri premium

J2ME/Wesber.A - Si installa tramite un applicazione pomoshnik.jar

In realtà? - Inviava sms ad un numero 1717 russo

J2ME/SMSFree - Applicazione per inviare SMS anonimi

In realtà? -Inviava sms a servizi premium nei seguentipaesi: - Russia (5 SMS) Ukraine (4 SMS) Kazakhstan (4 SMS)

J2ME/Vkonpass.A - Applicazione per la gestione dei social network

In realtà? - Collezione di account da rivendere - Utilizzo come veicolo di diffusione come malware / adware/ spyware - Raccolta mail da rivedendere per phishing mirato

Android/Geinimi.A - Codice malevolo inserito in diverse applicazioni apparentemente legittime

- In realtà cosa faceva?

In realtà cosa faceva - Ecrypton backdoor command, C&C URL - In ascolto sulla porta 5432 per l handshaking

Soundcomber - Intercettazione di chiamate - Identificazione passi per IVR - Capacità di processare audio per riconoscimento di informazioni su carte di credito

Esempio 1) Utente chiama compagnia carta di credito

Esempio - Soundcomber inizia l operazioni di analisi

Esempio - Carta di credito identificata e inviata verso il server remoto

Esempio - Identificazione Carta di credito via DTMF

Malware for profit 2 - Click Fraud, Black Hat SEO - Generazione di traffico, pay-per-click(ppc) ads - Stealing Accounts(Skype, QQ, SIM balances, bank)

Bank??? - Zitmo = Malware della famiglia Zeus portato sul mobile - Piattaforme interessate: - - Android - - BlackBerry - - Symbian - - Windows Mobile

Come funziona

Exploit Android - Possibilità di ottenere informzioni dettagliate sfruttando una vulnerabilità del browser - Versione vulnerabile <= 2.2

- Metasploit

Exploit

Android exploit

Exploit - Accediamo con il nostro tablet/smartphone al nostro server - http://192.168.1.135:8080/payload.html/q

Exploit

Come posso ottenre un risultato migliore? - QR code ex sito:

Adesso ci divertiamo - Creazione di un finto sito che sfrutta una vulnerabilità dello smartphone - Creazione del QR code: ex: - http://qrcode.kaywa.com/

QR CODE

Come posso diffondere?

Defacement!!

Conclusioni - Formazione - Implementare misure MDM - Molto importanti saranno i repository delle applicazioni - Installare applicazioni che controllano questo tipo di problematiche

Thank you for your attention! Q&A luigi.damato@sec-lab.com