Verslag lezing Victor van der Veen

'How Google Just Killed Your Phone-Based Two-Factor Authentication '

Spreker Victor van der Veen van de Vrije Universiteit Amsterdam

How Google just killed Two Factor Authentication (http://fc16.ifca.ai/preproceedings/24_Konoth.pdf)

Als onderdeel van hun onderzoek bij VUSec hebben Victor van der Veen en Radesh Krishnan Konoth methoden onderzocht om het immer populairder wordende Two Factor Authentication (ook wel bekend als 2FA) aan te vallen. 2FA wordt gebruikt om de beveiliging van het loginproces te versterken. 2FA is een methode om de identiteit van een gebruiker te verifiëren, gebruik makend van een combinatie van twee verschillende onderdelen. Er zijn drie elementen mogelijk: fysieke objecten die eigendom zijn van de gebruiker (sleutels, bankpassen, tokens), een geheim dat alleen de gebruiker kent (wachtwoord, pincode) en een persoonlijke eigenschap van de gebruiker (vingerafdruk, stem, iris).

 

 

 

 

Wanneer een gebruiker inlogt wordt om zijn wachtwoord gevraagd; het tweede hierboven genoemde element. Om hier 2FA van te kunnen maken wordt er een (uniek) tweede element toegevoegd, waarmee de beveiliging versterkt wordt. Het meest gebruikte tweede element is momenteel een fysiek object dat eigendom is van de gebruiker, in de vorm van een mobiel apparaat dat een geheime code bevat, bijvoorbeeld verkregen via SMS of een speciale app. Een aanvaller zou hier geen toegang tot moeten hebben.

Victor laat ons zien dat de veronderstelling niet altijd correct is dat een aanvaller geen toegang heeft tot de geheime code die door het apparaat wordt gegenereerd. Hij doet dit door wat hij Anywhere Computer noemt in zijn voordeel te gebruiken. In het bijzonder valt hij de functionaliteit van Android aan die ervoor zorgt dat wanneer een app wordt geïnstalleerd op het ene apparaat, dat het automatisch ook wordt gedownload op alle andere apparaten die hetzelfde account gebruiken.

Wanneer een gebruiker slachtoffer is geworden van malware die zich heeft genesteld in de browser van de gebruiker, kan een aanvaller het slachtoffer verleiden tot het downloaden van een kwaadaardige app. Deze app komt dan ook terecht op het apparaat dat de geheime codes voor inloggen genereert (zoals een telefoon of tablet).

Victor en Radesh noemen deze techniek voor het installeren van malware op een apparaat van een slachtoffer Browser-to-Android. Verschillende trucs bleken nodig voordat deze kwaadaardige app gebruikt kon worden om de benodigde geheime codes te stelen die nodig zijn voor het inloggen in combinatie met het eerder verkregen wachtwoord van het slachtoffer.

Hindernissen die overwonnen dienden te worden waren onder andere het infecteren van de browser van het slachtoffer, het verbergen van de installatie van de kwaadaardige app en het slachtoffer zover krijgen de app te installeren. Nadat de app succesvol werd geïnstalleerd waren Victor en Radesh in staat om met gestolen gegevens in te loggen, nadat ze eveneens de daarop volgende gegenereerde geheime codes hadden bemachtigd. Zodoende werd het account van het slachtoffer gecompromitteerd.

 

@Secura 2018
Webdesign Studio HB / webdevelopment Medusa