Zdroj: RSA Conference 2020
Len včera sa skončila RSA konferencia, ktorá sa konala v San Franciscu od 24.2 do 28.2.2020. Zaujala ma veľmi aktuálna prezentácia, ktorá sa volala „Mobile MFA Madness: Mobile Device Hygiene and MFA Integrity Challenges“. Zaoberala sa tým, ako náročné je ukradnúť kódy z aplikácií pre multifaktorovú autentifikáciu, a ktoré mobily sú vo firemnom prostredí najbezpečnejšie. Práve tento týždeň sa objavila správa o mobilnom malvére, ktorý vraj kradne MFA kódy z mobilnej aplikácie.
Prezentáciu viedli Aaron Turner a Georgia Weidman. Obidvaja majú skúsenosti s pentestami mobilov a mobilných MFA aplikácií, ktoré sa používajú vo firemnom prostredí na účely multifaktorovej autentifikácie.
Hlavná myšlienka celej prezentácie bola, že použitie mobilnej MFA aplikácie na starom a neaktualizovanom smart mobile nie je bezpečné. Ak útočník dokáže využiť známy a voľne dostupný exploit, tak sa dostane aj ku kódom mobilnej MFA aplikácie.
Prezentujúci správne poukázali na to, že nainštalovať aplikáciu, ktorá obsahuje citlivý kryptografický materiál na mobil s kernel zraniteľnosťami nie je dobrý nápad. Poukázali na prípad z praxe, keď boli kódy odcudzené zo zraniteľného mobilu admina nemenovanej firmy a neskôr boli použité na prihlasovanie.
V jednej zo štatistík poukázali na to, že po zverejnení zraniteľnosti, majú firmy zvyčajne len 28 dní, aby zaplátali firemné mobily. To je zvyčajný čas na vytvorenie a zverejnenie funkčného exploitu. Podľa mojej skúsenosti firmy nezvládajú do 28 dní ani aktualizáciu PC, serverov alebo sieťových komponentov.
Podľa prieskumu IANS až 40% mobilov firiem z rebríčka Fortune 500 nemalo aktualizáciu 6 týždňov po jej zverejnení. Šokujúco až 90% Fortune 500 firiem používa mobilné MFA aplikácie na prístup ku kritickým systémom a dátam.
Ich rady sú nasledujúce:
- v prípade iOS zariadení dovoľte vo firme jedine iPhone 8 a vyššie. iPhone XS, 11 majú dokonca aj odolnosť voči útoku s „checkm8“, kde je nutné mať k mobilu fyzický prístup.
- v prípade Androidov jedine Android 9 a 10. Odporúčane mobily sú Google Pixel 3 a vyššie a mobily z programu Android One (Motorola, Nokia). Neodporúčajú Samsung, lebo podľa výskumu Karstena Nohla Samsung vynechával aktualizácie aj keď tvrdil, že sú nainštalované.
Vyjadrili sa aj k biometrii. Obidvaja sa zhodli, že ide skôr o hračičky ako reálnu bezpečnosť. Hlavný problém majú s tým, že biometrický login sa nedá reálne zrušiť a nahradiť. Ak unikne váš biometrický údaj, alebo ho niekto skopíruje, nemôžete si jednoducho vymeniť odtlačky alebo tvár za inú.
Zopakovali znova informáciu, ktorú sme už spomínali v jednom z našich incident podcastov, že v súčasnosti je ťažšie prekonať aktualizovaný Android ako iPhone. Na horeuvedenom linku v zdroji si pozrite a vypočujte ich prezentáciu, je veľmi zaujímavá pre každého admina, ktorý má na starosti bezpečnosť firemných mobilov.
Obrázok: RSA Conference 2020
