Verslag Lezing Nikita Abdullin en Maurice Aarts

'Mobile Payment Security'

Sprekers Nikita Abdullin en Maurice Aarts, Riscure

De focus van deze presentatie lag bij Host Card Emulation voor Android en de beveiliging van het mobiel  betalen van Host Card Emulation transacties.

 

 

 

 

 

 

Maurice en Nikita begonnen hun presentatie met een overzicht van de evolutie van NFC transacties, uitmondend in de implementatie in consumentengoederen zoals mobiele telefoons. Een ‘normale’ NFC transactie zou voorzien moeten zijn van een Secure Element (hardware component) dat hetzelfde doel heeft als een echte bankpas: het beschermen van  de belangrijkste gegevens op de kaart. Een van de problemen bij het gebruik van Secure Elements is echter dat maar een beperkt aantal smartphones over deze voorziening beschikken.  De volgende stap in NFC transacties was daarom het weghalen van het Secure Element en te proberen een Host Card Emulation te realiseren, het nabootsen van een smart card in software dus. Dit heeft verschillende voordelen ten opzichte van Secure Elements waaronder het feit dat de banken die gebruik willen maken van deze methode, niet meer afhankelijk zijn van de verkopers van Secure Elements. De uitdaging hierbij is dat de beveiliging van een smart card in vergelijking met een smartphone vele malen beter is. Is het mogelijk om een applicatie veilig te laten werken op een smartphone?

Android maakt gebruik van verschillende opties om applicaties te beveiligen: AppSigning, Permissions, Sandbox en KeyStore.  Maar daarnaast zijn er ook verschillende Malware threats die Android bedreigen:

  • Sign manipulated transactions
  • Sign arbitrrary transactions
  • Extract key

Alle aanvallen op Android apps beginnen met rooting. Dit wordt gerealiseerd door het exploiteren van een bug in  Android OS, waardoor de aanvaller Super User toegang heeft tot het apparaat. Een aanvaller kan verschillende ervaringsniveaus hebben, van iemand die ergens een exploit pack koopt tot een expert black-box-hacker. Het is niet ondenkbaar dat hij de volledige controle heeft over het apparaat en aanvallen van grote omvang kan starten.

De presentatie van Maurice en Nikita ging onder andere verder in op het ‘hooking’ concept en mogelijke andere aanvallen die ingezet kunnen worden. De verschillende tools die gebruikt kunnen worden bij de aanvallen zoals de Android Attack Tool Towelroot en Androgurad werden nader toegelicht. Natuurlijk besteedden ze ook aandacht aan de eventuele tegenmaatregelen die genomen kunnen worden.

De conclusies die getrokken kunnen worden uit de presentatie van Maurice en Nikita is dat smartphones géén veilig platform zijn en dat apps voor mobiel betalen extra beveiliging nodig hebben. Er zijn verschillende concepten in ontwikkeling die veilige apps misschien mogelijk maken. Permanente evaluatie kan risico’s in ieder geval identificeren en beperken.

 

 

 

@Secura 2017
Disclaimer  /  Privacy policy  /  Sitemap / Inloggen
Webdesign Studio HB / webdevelopment Medusa