Norsk Tipping – Oddsen for trojaner er høyere!

Tilfeldigvis lekte jeg meg litt med MITM proxy for å avlytte trafikken og se hva slags sikkerhets standard mange av Android appene mine benytter.
Det var helt tilfeldig av Norsk Tipping appen varslet meg om en oppdatering jeg kunne installere.
Data-trafikken Norsk Tipping ellers sender i form av bruker og spill data håndereters over HTTPS, så jeg fikk se fint lite av mine egen sensitive information (Konge!)
Men in-app oppdateringer derimot, det håndteres over HTTP, å det er det vell heller ikke noe problemer ved? Eller?

 

Selve oppdaterings “sjekken” som sammenligner app-versjonen med den nyeste foregår over HTTPS (Etter hva jeg kan forstå), men selve nedlasting av filen skjer over HTTP, i tillegg er det heller ingen bekreftelse fra appen mot webserveren at appen den er i ferd med å laste ned / kjøre, faktisk er riktig app.
Dette gjør det enkelt for en angriper å utføre et MITM angrep og ved benyttelse av DNS “spoofing” utgi seg for å være “mobile.buypass.no” sin server som hoster filen.
Norsk-Tipping appen vil derfor laste ned en .apk som angriper hoster på sin lokale maskin, isteden for Norsk tipping sin!
Dette kan føre til at angriper kan få full tilgang til smarttelefonen og alt den relative sensitive informasjonen den inneholder. Som angriper kan vi ikke direkte “utløse” oppdateringer for telefoner på nettverket, men vi kan vi tvinge alle som forsøker å oppdatere på nettverket til å bruke den falske appen isteden for den ekte.

Angriperen kan i tillegg ha forberedte en kopi av den nye oppdatering med en skjult “bakdør”, appen blir faktisk oppdatert og alt ser tipp topp ut, men skadevare har blitt installert i bakgrunnen samtidig.

 

Steg #1 – Appen spør serveren om det er en ny versjon tilgjengelig basert på den nåværende, dette er over HTTPS og kan derfor ikke leses.
Steg #2 – Appen har bekreftet at det er en ny app tilgjengelig og sender deretter en request mot “mobile.buypass.com/ams/176/NorskTipping.apk” og kjører appen (uten å bekreftet at dette er riktig app)
Steg #3,4 – Appen installeres og åpnes som deretter gir angriperen full tilgang telefonen, her vill en angriper åpenbart modifisert både icon og tittel fra “MainActivity” til noe mer passende. (Eks NorskTipping)

 

 

 

I Bettercap loggen til høyre ser vi at domenet “mobile.buypass.no” ble omdirigert til vår falske server (hostet på angriper maskinen), det er derfor vår apk som nå har blitt kjørt og vi har fått full kontroll via en reverse-TCP-shell (Meterpreter i tilfelle) Vi kan nå fritt dumpe SMS,Bilde,Notater osv…

Forslag på løsning ville hvert å unytte en SHA256 hash “verdi” av filen som hentes over HTTPS og som sjekkes før filen kjøres, matcher ikke hashen er det ikke riktig fil.

 

 

2,240 comments on “Norsk Tipping – Oddsen for trojaner er høyere!