O modelo de segurança móvel é quebrada: V-Key

Mais malware está aparecendo em dispositivos móveis si mesmos, e apesar das medidas de segurança, como criptografia total do dispositivo, eles podem roubar informações, independentemente dos obstáculos que as empresas colocam em seu caminho, de acordo com V-Key CTO Joseph Gan.

Falando na Conferência RSA Ásia-Pacífico em Cingapura na quarta-feira, Gan disse que, embora a principal preocupação entre as empresas costumavam ser a perda de dados quando um dispositivo vai faltar ou for roubado, as empresas agora têm de lidar com malware oculto que escapa a maioria dos controles colocá no lugar.

Se o empregado perde o seu dispositivo móvel … você pode ter certeza de que suas listas de clientes e tudo o que não se perdem; que seus backups não sejam perdidos. Mas o desafio que estamos vendo é que, porque as aplicações que utilizam dados de passar para o dispositivo, as ameaças realmente estão se movendo para o dispositivo móvel.

Gan disse que os atacantes também não são simplesmente restringindo-se a recuperação de dados, com algum malware sentado em dispositivos e acessar dados enquanto o usuário está funcionando ativamente aplicações.

A raiz do problema encontra-se com o sistema operacional, Gan disse, mesmo quando criptografia total do dispositivo é usado.

“O sistema operacional tem acesso a todos estes dados sejam« codificados », e, no final, a aplicação tem de ter acesso a todos esses dados. Uma vez que o aplicativo está sendo executado … o aplicativo é capaz de acessar os dados dentro do móvel aplicação dentro do sistema operacional, se isso é o chaveiro, ou a sua pasta de documentos, ou suas preferências “, disse ele.

Essencialmente, o seu modelo de confidencialidade de segurança inteiro está totalmente quebrada. A causa principal é porque a aplicação tem de confiar no sistema operacional subjacente.

Da mesma forma, uma vez que o sistema operacional está comprometida, ele fornece hackers com a capacidade de derrotar a criptografia SSL, substituindo certificados com a sua própria, a fim de realizar ataques man-in-the-middle.

Enquanto muitas empresas simplesmente reduzir o seu perfil de risco através da aplicação de uma política que os dispositivos conectados às suas redes não deve ser enraizada, Gan disse que há uma infinidade de maneiras que os atacantes podem esconder os sinais indicadores de que tem sido enraizadas. Além disso, ele disse que vai para a camada de aplicação e engenharia reversa os cheques para dispositivos habilitados para raiz é simples.

Houve um teste de penetração que eu fiz para uma aplicação bancária uma vez, e eles tinham um cheque que basicamente tentou determinar se ele estava rodando em um iPhone com jailbreak, e, se fosse, ela apareceu uma caixa de diálogo de alerta dizendo ‘Você não pode executar isso em um telefone jailbroken “.

A partir daí, Gan simplesmente compilado a aplicação e procurou a cadeia na caixa de diálogo para determinar onde o cheque foi sendo realizada.

[I] alterou a instrução de desvio essencialmente ignorar a verificação, e eu remendado-lo, literalmente, modificando um byte no aplicativo.

Segurança; repensando conceitos básicos de segurança: Como superar a FUD; Inovação; mercado M2M salta para trás no Brasil; segurança; prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t EUA; segurança; WordPress pede que os usuários para atualizar? agora para corrigir falhas de segurança críticas

Gan reconheceu que as medidas de segurança baseados em hardware, tais como o método de elemento de segurança usado para pagamentos móveis, dissociar o seguro de armazenamento diretamente do sistema operacional. No entanto, ele ainda tem um defeito inato em que a informação tem ainda de ser processada pelo sistema operativo, em algum momento.

Vimos que com o Google Wallet logo depois que ele saiu. O ataque não estava no Google Wallet em si, mas na verdade era sobre o acesso, porque o usuário digita o PIN dentro do sistema operacional no aplicativo, e os atacantes poderiam extrair o PIN porque está acontecendo dentro do software.

Gan não tenho uma resposta para como proteger o sistema operacional completamente, mas ele fez oferecem alguns conselhos que podem ajudar os atacantes abrandar. Para serviços escondidos que os atacantes tenham instalado, como um daemon SSH, os administradores podem procurar quaisquer aplicativos ou portas que foram abertas ou de propriedade do usuário root.

Ao lidar com aplicações que podem ter sido modificados e reembalados por um atacante, Gan disse a integridade deles poderia ser testado por computação um hash soma de verificação e verificação de código assinado, mas admitiu que isso provavelmente só iria retardar um atacante.

Tomando uma abordagem mais velho, baseado em assinaturas, que Gan rapidamente admitiu não faria atacantes lentos para baixo por muito, administradores poderia olhar para ver o que as bibliotecas são carregadas, tais bibliotecas keylogging bem conhecidos. Isto também podia ser utilizado em combinação com a procura no qual as chamadas da API são a ser interceptado.

Gan apontou para o exemplo de aplicação keylogging iKeyGuard. A aplicação intercepta a notificação UIKeyboard, permitindo uma aplicação desonestos para registrar informações de cada vez que o usuário pressiona uma tecla.

Você é capaz de verificar a quando estas funções foram ‘viciado’. Não é tão difícil, você só precisa descobrir o que eles estão ligando.

Michael Lee viajou para Cingapura como convidado da RSA.

Repensar os fundamentos de segurança: Como superar a FUD

? Mercado M2M salta para trás no Brasil

prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t dos EUA

WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas