Zaujímavá prezentácia z RSA konferencie o bezpečnosti mobilných MFA aplikácií a o tom, ktoré mobily sú bezpečné

RSA Conference 2020

Zdroj: RSA Conference 2020

Len včera sa skončila RSA konferencia, ktorá sa konala v San Franciscu od 24.2 do 28.2.2020. Zaujala ma veľmi aktuálna prezentácia, ktorá sa volala „Mobile MFA Madness: Mobile Device Hygiene and MFA Integrity Challenges“. Zaoberala sa tým, ako náročné je ukradnúť kódy z aplikácií pre multifaktorovú autentifikáciu, a ktoré mobily sú vo firemnom prostredí najbezpečnejšie. Práve tento týždeň sa objavila správa o mobilnom malvére, ktorý vraj kradne MFA kódy z mobilnej aplikácie.

Prezentáciu viedli Aaron Turner a Georgia Weidman. Obidvaja majú skúsenosti s pentestami mobilov a mobilných MFA aplikácií, ktoré sa používajú vo firemnom prostredí na účely multifaktorovej autentifikácie.

Hlavná myšlienka celej prezentácie bola, že použitie mobilnej MFA aplikácie na starom a neaktualizovanom smart mobile nie je bezpečné. Ak útočník dokáže využiť známy a voľne dostupný exploit, tak sa dostane aj ku kódom mobilnej MFA aplikácie.

Prezentujúci správne poukázali na to, že nainštalovať aplikáciu, ktorá obsahuje citlivý kryptografický materiál na mobil s kernel zraniteľnosťami nie je dobrý nápad. Poukázali na prípad z praxe, keď boli kódy odcudzené zo zraniteľného mobilu admina nemenovanej firmy a neskôr boli použité na prihlasovanie.

V jednej zo štatistík poukázali na to, že po zverejnení zraniteľnosti, majú firmy zvyčajne len 28 dní, aby zaplátali firemné mobily. To je zvyčajný čas na vytvorenie a zverejnenie funkčného exploitu. Podľa mojej skúsenosti firmy nezvládajú do 28 dní ani aktualizáciu PC, serverov alebo sieťových komponentov.

Podľa prieskumu IANS až 40% mobilov firiem z rebríčka Fortune 500 nemalo aktualizáciu 6 týždňov po jej zverejnení. Šokujúco až 90% Fortune 500 firiem používa mobilné MFA aplikácie na prístup ku kritickým systémom a dátam.

Ich rady sú nasledujúce:

  • v prípade iOS zariadení dovoľte vo firme jedine iPhone 8 a vyššie. iPhone XS, 11 majú dokonca aj odolnosť voči útoku s „checkm8“, kde je nutné mať k mobilu fyzický prístup.
  • v prípade Androidov jedine Android 9 a 10. Odporúčane mobily sú Google Pixel 3 a vyššie a mobily z programu Android One (Motorola, Nokia). Neodporúčajú Samsung, lebo podľa výskumu Karstena Nohla Samsung vynechával aktualizácie aj keď tvrdil, že sú nainštalované.

Vyjadrili sa aj k biometrii. Obidvaja sa zhodli, že ide skôr o hračičky ako reálnu bezpečnosť. Hlavný problém majú s tým, že biometrický login sa nedá reálne zrušiť a nahradiť. Ak unikne váš biometrický údaj, alebo ho niekto skopíruje, nemôžete si jednoducho vymeniť odtlačky alebo tvár za inú.

Zopakovali znova informáciu, ktorú sme už spomínali v jednom z našich incident podcastov, že v súčasnosti je ťažšie prekonať aktualizovaný Android ako iPhone. Na horeuvedenom linku v zdroji si pozrite a vypočujte ich prezentáciu, je veľmi zaujímavá pre každého admina, ktorý má na starosti bezpečnosť firemných mobilov.

Obrázok: RSA Conference 2020

Facebook
Twitter
LinkedIn
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ

ITAPA 2022: Výber TOP spíkrov kongresu

ITAPA 2022: Výber TOP spíkrov kongresu Téma: Ženy v IT, úspešné podnikateľky Anca D. Goron, expertka na umelú inteligenciu, zakladateľka 2 startupov, ktorá bola zaradená do…

Richard „Citrón“ Lintner exkluzívne pre ITAPA

Tlačová informácia Richard „Citrón“ Lintner exkluzívne pre ITAPA: Vychovávame výnimočných ľudí. Nie vďaka, ale skôr napriek systému Bratislava, 22. november 2022 – Je tomu už…