Hackere snyder stadig 2FA: Listig teknik omgår ny SMS-beskyttelse i Android

It-sikkerhedsvirksomheden ESET har kigget nærmere på flere ondsindede apps rettet mod brugere af den tyrkiske kryptovaluta-børs BtcTurk. Illustration: ESET
Google har lukket ned for app-adgangen til sms'er i Android, men hackere har alligevel fundet ud af at få fat i engangskodeord fra tekstbeskederne.

Selvom Google har begrænset apps adgang til sms'er i Android, så har hackere alligevel fundet en måde at opsnappe engangskodeord fra tekstbeskederne.

Det fortæller it-sikkerhedsvirksomheden ESET nærmere om i et indlæg her.

Google begrænsede generelle apps' adgang til sms'er og opkaldslogs på Android i marts måned i år. Og en af de positive effekter i den forbindelse var ifølge ESET, at ondsindede apps dermed også mistede muligheden for at opsnappe engangskodeord send via sms som et led i en login-proces med 2-faktor-autentifikation (2FA).

Men nu meddeler ESET, at virksomheden er stødt på to ondsindede apps, som er lagt på Googles app-butik Play i juni. Disse apps er skruet sammen på en måde, så de kan tilgå engangskodeord i sms'er, selvom de ellers ikke har den direkte tilladelse i Android-systemet, der gør det muligt at læse sms'er.

ESET oplyser, at de apps, virksomheden er stødt på, udgiver sig for at være fra den tyrkiske kryptovaluta-børs BtcTurk. De ondsindede apps forsøger at franarre brugeren login-oplysninger til denne tjeneste.

En af de ondsindede apps, ESET har kigget på, beder her om adgang til notifikationerne på enheden. Illustration: ESET

Flere apps på Play

Den ene app blev uploadet til Play under navnet 'BTCTurk Pro Beta' 7. juni 2019. Den er blevet installeret af mere end 50 brugere, før den blev pillet ned igen. Det skete da ESET rettede henvendelse til Googles sikkerhedsfolk.

En anden app blev lagt op 11. juni 2019 under navnet 'BtcTurk Pro Beta' - bemærk Btc i stedet for BTC. Selvom begge apps anvender samme angrebsteknik, så lader det ifølge ESET til at være forskellige angribere, der står bag.

App nummer to blev også indrapporteret til Google af ESET. Appen blev installeret af færre end 50 brugere.

Endelig blev en tredje app lagt op, denne gang med navnet 'BTCTURK PRO'. Denne app havde samme funktionalitet og udseende, som appen fra 11. juni. ESET rapporterede den tredje app til Google 13. juni 2019. Det fremgår ikke af ESETS beskrivelse af forløbet, hvor mange der havde installeret denne app.

Den ondsindede app forsøger at franarre brugeren login-oplysninger til den tyrkiske kryptovaluta-børs BtcTurk. Illustration: ESET

Sådan snyder de 2FA-beskyttelse

Men hvordan var det så med den der omgåelse af 2FA-beskyttelsen i Android?

Jo, når førnævnte apps bliver kørt på Android-enheden, bliver brugeren bedt om at give dem tilladelsen Notification access. Og herefter bliver brugeren bedt om at indtaste login-oplysninger til BtcTurk - som et led i forsøget på at få fat i login-oplysningerne.

Notification access giver i ESETS udlægning appen mulighed for at læse indholdet af enhedens notifikations-område. Altså der hvor der eksempelvis kan være preview af en sms eller en mail. Derudover giver den pågældende tilladelse også apps mulighed for at afvise notifikationerne.

Som flere læsere nok har regnet ud, så er det her, problemet ligger i forhold til, hvordan angribere kan få fat i engangskode sendt via sms, trods Googles foranstaltninger fra marts.

BTCTurk Pro Beta

Via Notification access kan de ondsindede BtcTurk-apps tilgå eventuelle engangskoder ved at læse notifikationerne, når en sms eller en mail ankommer. I den nærmere beskrivelse af angrebet, tager ESET afsæt i en af de ondsindede apps, BTCTurk Pro Beta.

Appen har et filter, som kun opsnapper notifikationer fra apps, hvor nøgleordene 'gm, yandex, mail, k9, outlook, sms, messaging' indgår.

Det viste indhold fra de pågældende apps bliver sendt til angriberens server. Indholdet af notifikationer kan tilgås af den ondsindede app, uanset om brugeren har indstillet enheden til ikke at vise notifikationer, når telefonens skærm er låst.

Brugeren bliver præsenteret for en fejlmeddelelse, når angriberen har fået de nødvendige oplysninger fra den ondsindede app. Illustration: ESET

Og da Notification access også gør det muligt for de ondsindede apps at afvise notifikationer på enheden, så kan notifikationerne med engangskoder fjernes, før brugeren opdager dem. Det kan være med til at sløre angrebet.

ESET bemærker, at filterlisten med nøgleord viser, at angriberne både går efter sms'er og mails i forhold til 2FA. ESET nævner i den forbindelse også, at angrebsteknikken kun giver adgang til tekst, der passer i enhedens notifikationsfelt.

Og det kan gøre en forskel i forhold til succesen af angrebet, alt efter, om der er tale om engangskoder på sms eller mail.

Sms'er med engangskoder er ofte kortfattede, og sandsynligheden for at fange engangskoden er formentlig større. Derimod er længden ifølge og formatet på 2FA-beskeder via mail ifølge ESET noget mere varieret, og det kan bevirke, at angriberne ikke umiddelbart har adgang til mail-engangskoderne som følge af Notification access.

Simpelthen fordi, koden kan stå længere nede i mailen og dermed uden for det felt, der optræder i notifikationen.

Endnu en app

Efter analyserne af malwaren rettet mod brugere af BtcTurk, er ESET stødt på endnu en ondsindet app - denne gang rettet mod den tyrkiske kryptovaluta-børs Koineks. Denne app bruger samme angrebsteknik k i forhold til 2FA, som de apps, der er rettet mod BtcTurk.

Som værn mod 2FA-angrebsteknikken anbefaler ESET blandt andet - når det er muligt - at bruge selvstændige software- eller hardware-baserede produkter til at skabe engangskodeord med. Altså frem for at bero på SMS og mail til den slags. Google Authenticator og Yubico’s YubiKey er eksempler på den slags selvstændige produkter.

PC World har en lavet en oversigt fra juni i år over den slags løsninger.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Thomas Toft

Den er altså for tynd V2. Prøv lige et realitetscheck: Hvis en bruger i Android siger ja til en popup og en anden bruger siger ja til en Windows popup, hvem har så afgivet flest rettigheder til en app? I Windows er et ja 100% adgang til alt. Hvor er jeres ugentlige svada mod det? Man kan sige meget om Android men sikkeheden er altså bedre end alt muligt andet i roser og reklamere for.

Det er som at kalde en phisingmail "en sikkerhedsfejl i et mailprogram". Fejlen er altså 100% hos brugeren -der endda bliver advaret ret så tydeligt- ikke i Android.

  • 0
  • 1
Bjarke Walling

Man skulle måske overveje om 2FA virkeligt er 2 faktorer, når brugeren kun benytter én enhed, hvor både login foregår og den ekstra faktor (SMS i dette tilfælde) kan verificeres. Hvis mobilen blev stjålet har angriber i teorien kun brug for at bryde adgangskoden inden at SIM-kortet bliver låst.

  • 3
  • 0
Michael Cederberg

Man skulle måske overveje om 2FA virkeligt er 2 faktorer, når brugeren kun benytter én enhed, hvor både login foregår og den ekstra faktor (SMS i dette tilfælde) kan verificeres. Hvis mobilen blev stjålet har angriber i teorien kun brug for at bryde adgangskoden inden at SIM-kortet bliver låst.

Det har du 100% ret i. Det kan aldrig blive 2FA når det hele kører gennem samme enhed. Man kunne forbedre det lidt ved at lave en "secure 2FA" funktion hvor 2FA foregik separat uden at user programmer havde adgang til beskeder.

I øvrigt er 2FA over SMS generelt idiotisk, fordi teleselskaberne ikke kan finde ud af at validere telefonnumre. Her er det telefonselskaberne der overser at de faktisk har noget værdifuldt: En separat kommunikationskanal hvor de kender begge ender (i de fleste tilfælde). I stedet leverer de en elendig service og giver os en sang fra de varme SS7 lande ...

  • 2
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize