Como hackers misturam métodos de ataque para contornar o MFA

Views: 412
0 0
Read Time:4 Minute, 47 Second

Proteger aplicativos móveis requer uma abordagem multicamadas com uma mistura de medidas de segurança cibernética para combater vários ataques em diferentes camadas.

Muitos especialistas em segurança recomendam a autenticação multifatorial (MFA) para evitar acesso não autorizado a contas protegidas. É uma medida de segurança chave para aplicativos móveis, mas não é uma bala de prata. Os hackers estão melhorando em derrotar proteções de segurança de segunda e terceira camadas, como o MFA.

Por exemplo, o grupo de hackers iraniano Rampant Kitten teve como alvo dissidentes iranianos usando malware depositado no aplicativo de mensagens Telegram da vítima, cujo MFA foi ignorado usando códigos SMS interceptados anteriormente.

Em seguida, há o Cerberus, um Trojan que abusa dos recursos de acessibilidade do Android como “opções de desenvolvedor” e ” permitir fontesdesconhecidas” para escalar privilégios, permitir acesso remoto e atualizar malware em sistemas de destino. Os hackers criaram o fluxo de autenticação do Google de forma reversa e extrairam credenciais de autenticação de dois fatores de aplicativos móveis para imitar e ignorar o Google Authenticator.

Além disso, no início deste ano vimos o surgimento do malware Eventbot, que tem como alvo aplicativos bancários móveis e muitas vezes mascarados como um aplicativo bem conhecido (como Microsoft ou Adobe). Ele pode interceptar mensagens SMS para obter códigos MFA para aquisições de contas e roubo de dados. Variantes mais novas e sofisticadas continuam a aparecer graças aos recursos de atualização automática.

E estes são apenas alguns casos bem conhecidos. Os hackers contornam o MFA o tempo todo, muitas vezes usando as seguintes técnicas comuns para atacar aplicativos móveis.

Engenharia reversa e adulteração 

Os hackers usam análises estáticas e dinâmicas para entender como os aplicativos funcionam e alterar aplicativos de muitas maneiras. Eles usam depuradores e emuladores para observar como os aplicativos funcionam em ambientes simulados. Eles usam desmontagem e descompiladores para obter código fonte e entender como ele é executado. Para tudo o que um hacker quer fazer, há cinco ou 10 ferramentas para fazê-lo, todas gratuitamente disponíveis.

Com as informações que essas ferramentas fornecem, os hackers descobrem onde estão as fraquezas dos aplicativos e, em seguida, criam ataques para explorar essas fraquezas. Por exemplo, usando ferramentas como Ghidra, IDA e outros, os hackers podem executar um dump de classe e mostrar todas as bibliotecas de terceiros em qualquer aplicativo. Em seguida, eles pesquisam fontes de dados públicas (como o MITRE) para encontrar todos os bugs e vulnerabilidades nessas bibliotecas para que eles possam criar um ataque que os explore. E eles aumentam seus ataques misturando técnicas de ataque. Quanto mais eles sabem sobre o aplicativo, mais dano eles podem fazer.

Ataques de camadas de transporte e engenharia social 

Os hackers alteram os certificados digitais e os usam em ataques de phishing e de homens no meio (MitM). Por exemplo, digamos que um invasor intercepte uma sessão bancária móvel usando um certificado alterado para estabelecer conexões em ambos os lados (ou seja, o hacker fica “no meio” do usuário e do banco). Tanto o servidor do banco quanto o usuário móvel acham que estão conversando com uma entidade confiável porque o certificado parece real, pois é o equivalente digital de uma “identidade falsa”.

Para parecer ainda mais legítimo, os hackers muitas vezes inserem uma sobreposição de tela, que é uma cópia falsa do site ao qual o usuário acha que está se conectando. Em seguida, eles gravam as teclas do usuário para interceptar os dados ou enganar o usuário para revelar informações a eles. Esse é um dos métodos usados no exemplo de Gatinho Desenfreado acima para que as vítimas instalem o malware.

Extração de dados e roubo de credenciais 

Os hackers procuram dados não criptografados armazenados em muitos locais diferentes em um aplicativo móvel, como caixa de areia de aplicativos, área de transferência, preferências, recursos e strings. Os aplicativos móveis também armazenam tokens de autenticação, cookies e credenciais de usuário em áreas de armazenamento compartilhada. Os hackers podem extrair esses dados facilmente, especialmente se não forem criptografados ou ofuscados.

Recomendações para desenvolvedores de aplicativos móveis 

Proteger aplicativos móveis requer uma abordagem multicamadas com uma mistura de medidas de segurança cibernética para combater vários ataques em diferentes camadas.

● Endurecer aplicativos com anti-adulteração, anti-reversão, validação de checkum e prevenção de jailbreak/root. Construa em proteção contra as ferramentas comuns que os hackers usam para estudar, simular e aprender sobre seu aplicativo e todos os seus componentes.

● Ofusque seu código para aplicativos nativos e não nativos, incluindo bibliotecas de terceiros e a lógica do seu código. Isso impede a engenharia reversa. Nos últimos 12 meses, houve mais de tudo na frente de violação de dados, exceto boas notícias.Trazido a você por Leitura Negra

● Criptografar dados confidenciais em todos os lugares que eles existem. A caixa de areia não é o único lugar onde os dados vivem. Criptografar strings, preferências de dados no aplicativo, recursos, chaves de API e segredos. E nunca deixe dados ou artefatos confidenciais limpos.

● Proteger dados em trânsito: Implementar a fixação de certificados e validação de autoridade de certificado ou certificado para proteger contra ataques de MitM, phishing e certificados alterados.

● Considere mfa “in-app”: Os desenvolvedores podem fortalecer o MFA com segurança biométrica aproveitando o FaceID/TouchID no aplicativo em uma base por aplicativo. Dessa forma, mesmo que o código PIN do dispositivo ou a solução MFA estejam comprometidos, o aplicativo ainda está seguro.

Segurança sólida requer uma defesa em camadas. O MFA é muito mais forte do que um modelo tradicional de nome de usuário/senha para autenticação, e eu encorajo seu uso. Mas é insuficiente por si só, e a falta de proteção de aplicativos/dados pode realmente levar ao compromisso MFA.

FONTE: DARK READING

POSTS RELACIONADOS