SlideShare uma empresa Scribd logo

Mr201212 man in_the_browser_in_android

FFRI, Inc.
FFRI, Inc.
1 de 17
Baixar para ler offline
Fourteenforty Research Institute, Inc. 1 Fourteenforty Research Institute, Inc. Fourteenforty Research Institute, Inc. 株式会社 フォティーンフォティ技術研究所 http://www.fourteenforty.jp Ver 2.00.01 Man in the Browser in Androidの可能性
Fourteenforty Research Institute, Inc. • 現在スマートフォンセキュリティの関心が高まっている • 一方で従来からのWindows PCでもマルウェアの攻撃手法が高度化してき ており、その一つの例が最近ニュースでも取り上げれているオンラインバ ンクを狙ったMan in the Browser (MITB)である • スマートフォンユーザーが増えるにつれて、スマートフォン上でオンライン バンクを利用する人も増えると予測される 2 Androidの普及とMan in the Browser スマートフォン上で、これまでWindowsで起きていたMITB攻撃が成立するのか、 対策方法があるのかを考える必要がある
Fourteenforty Research Institute, Inc. • ブラウザ内に侵入して、画面を書き換える、送信されるデータを書き換え る、パスワードを盗むなどを行う攻撃手法 • 主にオンラインバンクへのアクセスを監視、ユーザーの入力の搾取、改ざ んを行う • 二要素認証を用いても、正規のセッション、パスワードを攻撃時に用いる こともできるため防げない • 具体的な攻撃例については以下を参照 – http://www.fourteenforty.jp/assets/files/monthly_research/MR20120 7_browser_treat.pdf 3 Man in the Browser (MITB)とは
Fourteenforty Research Institute, Inc. • MITBと似た用語としてMITMOがあるが、別の概念である • モバイル端末にアプリをインストールさせることで、SMSメッセージを利用した認証 を回避して攻撃を成功させるための方法 • MITBと組み合わせて攻撃に利用される • 典型的なシナリオは以下のようなもの – デスクトップPCなどをMITBを用い攻撃し、 「セキュリティ上必要」などのうその 理由を表示させることで、利用者のモバイル端末にマルウェアをインストール させる。同時にログイン情報も盗む。 – 攻撃者は盗んだログイン情報を用いて、振り込み操作を行う。振り込みを完了 させるにはSMSで送られてくる認証コードが必要だが、モバイル端末上のマル ウェアがそれを攻撃者側に転送する。 – 攻撃者は取得した認証コードを用いて振り込みを完了する。 • MITMO ≠ MITB 4 Man in the Mobile (MITMO)とMITB
Fourteenforty Research Institute, Inc. 5 Man in the Mobile (MITMO)の流れ 被害者 モバイル端末 攻撃者PC 被害者 デスクトップPC オンラインバンク ①MITB攻撃を 仕掛ける ②画面を改ざん うそのメッセージ表示 ↓ マルウェアをモバイルにインストールさせる ログイン情報も同時に盗み出す ③ユーザーが マルウェアを インストール ④盗んだログイン 情報でログイン、 振込操作 ⑤認証コード送信 ⑥マルウェアが認証 コードを攻撃者側に 送信 ⑦認証コードを用い 振り込み完了
Fourteenforty Research Institute, Inc. • MITBやMITMOは攻撃コードやデータが存在する場所に着目した分類 – ブラウザ内 : MITB – モバイル端末内 : MITMO • MITMは攻撃の形態の一つ。MITBやMITMOと組み合わせて利用されること もあるが、それ以外のものも存在する。 • それぞれ独立した概念であり、組み合わされる場合もあれば、そうでない場 合もある MITB, MITMO, MITM(Man in the Middle)の関係 6 MITB MITMO MITM 今回は、この領域の可能性 について考える
Fourteenforty Research Institute, Inc. • MITBと言った場合、デスクトップPCのブラウザ内部に侵入しページの改ざ んを行うものを指すことが多い • これまで、モバイルのブラウザに侵入するような脅威は報告例がない • 今回は、モバイル端末として普及しているAndroidのブラウザに侵入する 攻撃方法があるのか、あるとすれば対策はあるのかを検証する 7 MITB in Android
Fourteenforty Research Institute, Inc. Windows • Windowsで起きるMITBがそのままAndroidで起きるか? – Windowsでは、マルウェアを実行してしまうと、同じユーザーで動作させている他のプロ セスのメモリを変更可能 – MITBの基本的な手法として利用される • Androidでは各プロセス(アプリ)が別ユーザーとして動いており、他のプロセスにアクセスで きないように設計されている • Androidマルウェアをインストールしてしまってもブラウザそのものへの影響は原則ない 8 AndroidとPC(Windows)との大きな違い Malware Process Browser Process Android Malware Process Browser Process Androidではマルウェアが直接ブラウザに介入することができない
Fourteenforty Research Institute, Inc. • Androidにおいて、ブラウザに介入できるとすれば、以下の4つの可能性が 考えられる – root化端末への侵入 – Androidシステム自体の脆弱性 – Browser Extension – Class Loading Hijacking脆弱性 9 Man in the Browser in Androidの可能性
Fourteenforty Research Institute, Inc. • root化端末では、他のプロセスへの介入が可能となる • root権限を持つプロセスからはメモリの書き換えやファイルの置き換えな どが自由に可能 → 無防備な状態 • プロセスのメモリの直接の書き換えのほか、アプリケーションの置き換え や、Dalvik-Cacheの置き換えなど、さまざまな手法でMITBを実現できる • root化をした状態でAndroidを利用しないことが対策となる 10 root化端末への侵入
Fourteenforty Research Institute, Inc. root化済みAndroid 11 root化端末への侵入 Malware Process Browser Process Android Malware Process Browser Process root化によりマルウェアがブラウザに介入できるようになる LSMの効果 root化されていても、Android端末ではLSM(Linux Secure Modules)によって、root権限でで きること(他のプロセスへの介入など)が制限されていることがある。ただし、LSMが有効で あっても、他のプロセスへの介入が可能になる例も報告されており(*1)、root化した端末では MITBに対するリスクは相対的にはかなり高くなるといえる。 *1 http://www.fourteenforty.jp/assets/files/research/research_papers/yet-another- android-rootkit.pdf root化
Fourteenforty Research Institute, Inc. • Androidシステム自体に脆弱性がある場合、root化される、ブラウザプロセスを乗っ取られる といった可能性がある • ブラウザが読み込むライブラリに脆弱性があり、任意のコードが実行可能であった場合、 MITBは可能となる – ただし、ASLRやDEPなどの実装により最近のAndroidではこのタイプの攻撃は困難にな ってきている • 対策としてはアップデートを適切に行うことが挙げられる 12 Androidシステム自体の脆弱性 Version -2.2 2.3-,3.0- 4.0- 4.1- DEP(スタック) × ○ ○ ○ DEP(その他) × ○ ○ ○ ASLR(スタック) ○ ○ ○ ○ ASLR(ヒープ) × × △ ○ ALSR(モジュール) × × △ ○ AndroidのDEP, ASLRへの対応状況 http://www.fourteenforty.jp/assets/files/research/research_papers/InternetWeek2011_s10-02.pdf より一部修正、追記して転載
Fourteenforty Research Institute, Inc. • Android版Firefoxはブラウザアドオンをサポート • 悪意あるアドオンを導入してしまった場合、画面等を書き換えられる可能 性がある • アドオンが安全かどうか判定する明確な方法はない • AMO(addons.mozilla.org)には、審査を通ったもののみが登録されている • 対策としては、ウェブページなどで促されるままにAMO以外からアドオンを 導入しないこと 13 Browser Extension
Fourteenforty Research Institute, Inc. • AndroidにはClass Loadingという外部のDEXコードを読み込む機能があり 、ネットワーク上のファイルなどをコードとして取り込める • Class Loadingの仕方を間違えると、WindowsのDLL Hijackingと同様の脆 弱性を作りこんでしまう • ただし、Android APIのドキュメントにも注意書きが存在しており、主要ブラ ウザでこのような問題を作りこんでしまう可能性は低い • Android Class Loading Hijackingについては以下を参照 – http://www.symantec.com/connect/blogs/android-class-loading- hijacking 14 Class Loading Hijacking脆弱性の利用
Fourteenforty Research Institute, Inc. • MITBではないが、多くのMITBを利用した攻撃が最終目標とするオンライ ンバンクのデータ通信の搾取、改ざんという攻撃を行うために使われる可 能性のある方法として、ブラウザ以外の銀行専用アプリへの攻撃が考え られる • これらにClass Loading Hijacking脆弱性がある場合、それらのアプリの改 ざんによりMITB同様の攻撃が可能となる • また、専用アプリに似せた偽アプリを利用してしまうことで攻撃される可能 性がある。 15 (参考)Browser以外での脅威
Fourteenforty Research Institute, Inc. 16 MITB in Androidの可能性と対策 可能性 対策 root化端末への侵入 root化を故意に行わない root化した端末を利用しない Androidシステムの脆弱性 システムのアップデート Browser Extension AMO以外からのアドオンのインストー ルを控える Class Loading Hijacking ブラウザのアップデート ユーザーが行える対策をまとめると、以下のようになる
Fourteenforty Research Institute, Inc. • AndroidのブラウザのMITBによる攻撃はWindowsなどに比べるとハードル が高い • ただし、root化によってそのリスクは上がる • root化されてない場合、システムの脆弱性やブラウザプラグインの利用と いった可能性が残る • root化端末を利用しないことが第一の対策となる • MITBに関して言えば、マルウェアを実行してしまうだけで、MITBが可能と なってしまうWindows PCを利用するよりも、Androidを利用したほうが安全 • MITB以外の、フィッシングや、偽アプリにはWindows PC同様注意が必要 17 まとめ

Recomendados

Mr201207 browser treat
Mr201207 browser treatMr201207 browser treat
Mr201207 browser treat
FFRI, Inc.
 
パネルディスカッション
パネルディスカッションパネルディスカッション
パネルディスカッション
NetAgent Co.,Ltd.
 
第34回サイバーワールド研究会20161216
第34回サイバーワールド研究会20161216第34回サイバーワールド研究会20161216
第34回サイバーワールド研究会20161216
義広 河野
 
普通の人のパソコン向け最低限のセキュリティ対策
普通の人のパソコン向け最低限のセキュリティ対策普通の人のパソコン向け最低限のセキュリティ対策
普通の人のパソコン向け最低限のセキュリティ対策
Kiyoshi SATOH
 
20120129図書館問題研究会
20120129図書館問題研究会20120129図書館問題研究会
20120129図書館問題研究会
UEHARA, Tetsutaro
 
Jssm先端技術・情報犯罪とセキュリティ 配布用資料-002
Jssm先端技術・情報犯罪とセキュリティ 配布用資料-002Jssm先端技術・情報犯罪とセキュリティ 配布用資料-002
Jssm先端技術・情報犯罪とセキュリティ 配布用資料-002
Ruo Ando
 
Online Social Networkにおけるセキュリティとプライバシ
Online Social NetworkにおけるセキュリティとプライバシOnline Social Networkにおけるセキュリティとプライバシ
Online Social Networkにおけるセキュリティとプライバシ
Chiemi Watanabe
 
関西セキュリティ 合同セミナー改ざん検知の分類資料
関西セキュリティ 合同セミナー改ざん検知の分類資料関西セキュリティ 合同セミナー改ざん検知の分類資料
関西セキュリティ 合同セミナー改ざん検知の分類資料
Kouji Uchiyama
 

Recomendados

Mr201207 browser treat
Mr201207 browser treatMr201207 browser treat
Mr201207 browser treat
FFRI, Inc.
 
パネルディスカッション
パネルディスカッションパネルディスカッション
パネルディスカッション
NetAgent Co.,Ltd.
 
第34回サイバーワールド研究会20161216
第34回サイバーワールド研究会20161216第34回サイバーワールド研究会20161216
第34回サイバーワールド研究会20161216
義広 河野
 
普通の人のパソコン向け最低限のセキュリティ対策
普通の人のパソコン向け最低限のセキュリティ対策普通の人のパソコン向け最低限のセキュリティ対策
普通の人のパソコン向け最低限のセキュリティ対策
Kiyoshi SATOH
 
20120129図書館問題研究会
20120129図書館問題研究会20120129図書館問題研究会
20120129図書館問題研究会
UEHARA, Tetsutaro
 
Jssm先端技術・情報犯罪とセキュリティ 配布用資料-002
Jssm先端技術・情報犯罪とセキュリティ 配布用資料-002Jssm先端技術・情報犯罪とセキュリティ 配布用資料-002
Jssm先端技術・情報犯罪とセキュリティ 配布用資料-002
Ruo Ando
 
Online Social Networkにおけるセキュリティとプライバシ
Online Social NetworkにおけるセキュリティとプライバシOnline Social Networkにおけるセキュリティとプライバシ
Online Social Networkにおけるセキュリティとプライバシ
Chiemi Watanabe
 
関西セキュリティ 合同セミナー改ざん検知の分類資料
関西セキュリティ 合同セミナー改ざん検知の分類資料関西セキュリティ 合同セミナー改ざん検知の分類資料
関西セキュリティ 合同セミナー改ざん検知の分類資料
Kouji Uchiyama
 
The handbook of part1 1-overview_yoshida
The handbook of part1 1-overview_yoshidaThe handbook of part1 1-overview_yoshida
The handbook of part1 1-overview_yoshida
Tomoko Yoshida
 
201306 ITにおける第3の波
201306 ITにおける第3の波201306 ITにおける第3の波
201306 ITにおける第3の波
Japan External Trade Oragnization, Switzerland
 
Mr201302 mitb in_android_2
Mr201302 mitb in_android_2Mr201302 mitb in_android_2
Mr201302 mitb in_android_2
FFRI, Inc.
 
P41 Thompson Jp[1]
P41 Thompson Jp[1]P41 Thompson Jp[1]
P41 Thompson Jp[1]
guestf8346b68
 
IIJ Technical DAY 2019 ~ セキュリティ動向2019
IIJ Technical DAY 2019 ~ セキュリティ動向2019IIJ Technical DAY 2019 ~ セキュリティ動向2019
IIJ Technical DAY 2019 ~ セキュリティ動向2019
IIJ
 
6 9security2
6 9security26 9security2
6 9security2
Yuki Fujino Oita Univ.
 
スマートフォンアプリ開発の傾向とBaaSの活用
スマートフォンアプリ開発の傾向とBaaSの活用スマートフォンアプリ開発の傾向とBaaSの活用
スマートフォンアプリ開発の傾向とBaaSの活用
大介 秋本
 
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARMAppearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
FFRI, Inc.
 
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARMAppearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
FFRI, Inc.
 
TrustZone use case and trend (FFRI Monthly Research Mar 2017)
TrustZone use case and trend (FFRI Monthly Research Mar 2017) TrustZone use case and trend (FFRI Monthly Research Mar 2017)
TrustZone use case and trend (FFRI Monthly Research Mar 2017)
FFRI, Inc.
 
Android Things Security Research in Developer Preview 2 (FFRI Monthly Researc...
Android Things Security Research in Developer Preview 2 (FFRI Monthly Researc...Android Things Security Research in Developer Preview 2 (FFRI Monthly Researc...
Android Things Security Research in Developer Preview 2 (FFRI Monthly Researc...
FFRI, Inc.
 
An Overview of the Android Things Security (FFRI Monthly Research Jan 2017)
An Overview of the Android Things Security (FFRI Monthly Research Jan 2017) An Overview of the Android Things Security (FFRI Monthly Research Jan 2017)
An Overview of the Android Things Security (FFRI Monthly Research Jan 2017)
FFRI, Inc.
 
Black Hat Europe 2016 Survey Report (FFRI Monthly Research Dec 2016)
Black Hat Europe 2016 Survey Report (FFRI Monthly Research Dec 2016) Black Hat Europe 2016 Survey Report (FFRI Monthly Research Dec 2016)
Black Hat Europe 2016 Survey Report (FFRI Monthly Research Dec 2016)
FFRI, Inc.
 
An Example of use the Threat Modeling Tool (FFRI Monthly Research Nov 2016)
An Example of use the Threat Modeling Tool (FFRI Monthly Research Nov 2016)An Example of use the Threat Modeling Tool (FFRI Monthly Research Nov 2016)
An Example of use the Threat Modeling Tool (FFRI Monthly Research Nov 2016)
FFRI, Inc.
 
STRIDE Variants and Security Requirements-based Threat Analysis (FFRI Monthly...
STRIDE Variants and Security Requirements-based Threat Analysis (FFRI Monthly...STRIDE Variants and Security Requirements-based Threat Analysis (FFRI Monthly...
STRIDE Variants and Security Requirements-based Threat Analysis (FFRI Monthly...
FFRI, Inc.
 
Introduction of Threat Analysis Methods(FFRI Monthly Research 2016.9)
Introduction of Threat Analysis Methods(FFRI Monthly Research 2016.9)Introduction of Threat Analysis Methods(FFRI Monthly Research 2016.9)
Introduction of Threat Analysis Methods(FFRI Monthly Research 2016.9)
FFRI, Inc.
 
Black Hat USA 2016 Survey Report (FFRI Monthly Research 2016.8)
Black Hat USA 2016 Survey Report (FFRI Monthly Research 2016.8)Black Hat USA 2016 Survey Report (FFRI Monthly Research 2016.8)
Black Hat USA 2016 Survey Report (FFRI Monthly Research 2016.8)
FFRI, Inc.
 
About security assessment framework “CHIPSEC” (FFRI Monthly Research 2016.7)
About security assessment framework “CHIPSEC” (FFRI Monthly Research 2016.7) About security assessment framework “CHIPSEC” (FFRI Monthly Research 2016.7)
About security assessment framework “CHIPSEC” (FFRI Monthly Research 2016.7)
FFRI, Inc.
 
Black Hat USA 2016 Pre-Survey (FFRI Monthly Research 2016.6)
Black Hat USA 2016 Pre-Survey (FFRI Monthly Research 2016.6)Black Hat USA 2016 Pre-Survey (FFRI Monthly Research 2016.6)
Black Hat USA 2016 Pre-Survey (FFRI Monthly Research 2016.6)
FFRI, Inc.
 
Black Hat Asia 2016 Survey Report (FFRI Monthly Research 2016.4)
Black Hat Asia 2016 Survey Report (FFRI Monthly Research 2016.4)Black Hat Asia 2016 Survey Report (FFRI Monthly Research 2016.4)
Black Hat Asia 2016 Survey Report (FFRI Monthly Research 2016.4)
FFRI, Inc.
 
ARMv8-M TrustZone: A New Security Feature for Embedded Systems (FFRI Monthly ...
ARMv8-M TrustZone: A New Security Feature for Embedded Systems (FFRI Monthly ...ARMv8-M TrustZone: A New Security Feature for Embedded Systems (FFRI Monthly ...
ARMv8-M TrustZone: A New Security Feature for Embedded Systems (FFRI Monthly ...
FFRI, Inc.
 
CODE BLUE 2015 Report (FFRI Monthly Research 2015.11)
CODE BLUE 2015 Report (FFRI Monthly Research 2015.11)CODE BLUE 2015 Report (FFRI Monthly Research 2015.11)
CODE BLUE 2015 Report (FFRI Monthly Research 2015.11)
FFRI, Inc.
 

Mais conteúdo relacionado

Semelhante a Mr201212 man in_the_browser_in_android

Mr201302 mitb in_android_2
Mr201302 mitb in_android_2Mr201302 mitb in_android_2
Mr201302 mitb in_android_2
FFRI, Inc.
 

Semelhante a Mr201212 man in_the_browser_in_android (7)

The handbook of part1 1-overview_yoshida
The handbook of part1 1-overview_yoshidaThe handbook of part1 1-overview_yoshida
The handbook of part1 1-overview_yoshida
 
201306 ITにおける第3の波
201306 ITにおける第3の波201306 ITにおける第3の波
201306 ITにおける第3の波
 
Mr201302 mitb in_android_2
Mr201302 mitb in_android_2Mr201302 mitb in_android_2
Mr201302 mitb in_android_2
 
P41 Thompson Jp[1]
P41 Thompson Jp[1]P41 Thompson Jp[1]
P41 Thompson Jp[1]
 
IIJ Technical DAY 2019 ~ セキュリティ動向2019
IIJ Technical DAY 2019 ~ セキュリティ動向2019IIJ Technical DAY 2019 ~ セキュリティ動向2019
IIJ Technical DAY 2019 ~ セキュリティ動向2019
 
6 9security2
6 9security26 9security2
6 9security2
 
スマートフォンアプリ開発の傾向とBaaSの活用
スマートフォンアプリ開発の傾向とBaaSの活用スマートフォンアプリ開発の傾向とBaaSの活用
スマートフォンアプリ開発の傾向とBaaSの活用
 

Mais de FFRI, Inc.

Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARMAppearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
FFRI, Inc.
 
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARMAppearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
FFRI, Inc.
 
Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...
Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...
Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...
FFRI, Inc.
 

Mais de FFRI, Inc. (20)

Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARMAppearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
 
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARMAppearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
 
TrustZone use case and trend (FFRI Monthly Research Mar 2017)
TrustZone use case and trend (FFRI Monthly Research Mar 2017) TrustZone use case and trend (FFRI Monthly Research Mar 2017)
TrustZone use case and trend (FFRI Monthly Research Mar 2017)
 
Android Things Security Research in Developer Preview 2 (FFRI Monthly Researc...
Android Things Security Research in Developer Preview 2 (FFRI Monthly Researc...Android Things Security Research in Developer Preview 2 (FFRI Monthly Researc...
Android Things Security Research in Developer Preview 2 (FFRI Monthly Researc...
 
An Overview of the Android Things Security (FFRI Monthly Research Jan 2017)
An Overview of the Android Things Security (FFRI Monthly Research Jan 2017) An Overview of the Android Things Security (FFRI Monthly Research Jan 2017)
An Overview of the Android Things Security (FFRI Monthly Research Jan 2017)
 
Black Hat Europe 2016 Survey Report (FFRI Monthly Research Dec 2016)
Black Hat Europe 2016 Survey Report (FFRI Monthly Research Dec 2016) Black Hat Europe 2016 Survey Report (FFRI Monthly Research Dec 2016)
Black Hat Europe 2016 Survey Report (FFRI Monthly Research Dec 2016)
 
An Example of use the Threat Modeling Tool (FFRI Monthly Research Nov 2016)
An Example of use the Threat Modeling Tool (FFRI Monthly Research Nov 2016)An Example of use the Threat Modeling Tool (FFRI Monthly Research Nov 2016)
An Example of use the Threat Modeling Tool (FFRI Monthly Research Nov 2016)
 
STRIDE Variants and Security Requirements-based Threat Analysis (FFRI Monthly...
STRIDE Variants and Security Requirements-based Threat Analysis (FFRI Monthly...STRIDE Variants and Security Requirements-based Threat Analysis (FFRI Monthly...
STRIDE Variants and Security Requirements-based Threat Analysis (FFRI Monthly...
 
Introduction of Threat Analysis Methods(FFRI Monthly Research 2016.9)
Introduction of Threat Analysis Methods(FFRI Monthly Research 2016.9)Introduction of Threat Analysis Methods(FFRI Monthly Research 2016.9)
Introduction of Threat Analysis Methods(FFRI Monthly Research 2016.9)
 
Black Hat USA 2016 Survey Report (FFRI Monthly Research 2016.8)
Black Hat USA 2016 Survey Report (FFRI Monthly Research 2016.8)Black Hat USA 2016 Survey Report (FFRI Monthly Research 2016.8)
Black Hat USA 2016 Survey Report (FFRI Monthly Research 2016.8)
 
About security assessment framework “CHIPSEC” (FFRI Monthly Research 2016.7)
About security assessment framework “CHIPSEC” (FFRI Monthly Research 2016.7) About security assessment framework “CHIPSEC” (FFRI Monthly Research 2016.7)
About security assessment framework “CHIPSEC” (FFRI Monthly Research 2016.7)
 
Black Hat USA 2016 Pre-Survey (FFRI Monthly Research 2016.6)
Black Hat USA 2016 Pre-Survey (FFRI Monthly Research 2016.6)Black Hat USA 2016 Pre-Survey (FFRI Monthly Research 2016.6)
Black Hat USA 2016 Pre-Survey (FFRI Monthly Research 2016.6)
 
Black Hat Asia 2016 Survey Report (FFRI Monthly Research 2016.4)
Black Hat Asia 2016 Survey Report (FFRI Monthly Research 2016.4)Black Hat Asia 2016 Survey Report (FFRI Monthly Research 2016.4)
Black Hat Asia 2016 Survey Report (FFRI Monthly Research 2016.4)
 
ARMv8-M TrustZone: A New Security Feature for Embedded Systems (FFRI Monthly ...
ARMv8-M TrustZone: A New Security Feature for Embedded Systems (FFRI Monthly ...ARMv8-M TrustZone: A New Security Feature for Embedded Systems (FFRI Monthly ...
ARMv8-M TrustZone: A New Security Feature for Embedded Systems (FFRI Monthly ...
 
CODE BLUE 2015 Report (FFRI Monthly Research 2015.11)
CODE BLUE 2015 Report (FFRI Monthly Research 2015.11)CODE BLUE 2015 Report (FFRI Monthly Research 2015.11)
CODE BLUE 2015 Report (FFRI Monthly Research 2015.11)
 
Latest Security Reports of Automobile and Vulnerability Assessment by CVSS v3...
Latest Security Reports of Automobile and Vulnerability Assessment by CVSS v3...Latest Security Reports of Automobile and Vulnerability Assessment by CVSS v3...
Latest Security Reports of Automobile and Vulnerability Assessment by CVSS v3...
 
Black Hat USA 2015 Survey Report (FFRI Monthly Research 201508)
Black Hat USA 2015 Survey Report (FFRI Monthly Research 201508)Black Hat USA 2015 Survey Report (FFRI Monthly Research 201508)
Black Hat USA 2015 Survey Report (FFRI Monthly Research 201508)
 
A Survey of Threats in OS X and iOS(FFRI Monthly Research 201507)
A Survey of Threats in OS X and iOS(FFRI Monthly Research 201507)A Survey of Threats in OS X and iOS(FFRI Monthly Research 201507)
A Survey of Threats in OS X and iOS(FFRI Monthly Research 201507)
 
Security of Windows 10 IoT Core(FFRI Monthly Research 201506)
Security of Windows 10 IoT Core(FFRI Monthly Research 201506)Security of Windows 10 IoT Core(FFRI Monthly Research 201506)
Security of Windows 10 IoT Core(FFRI Monthly Research 201506)
 
Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...
Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...
Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...
 

Mr201212 man in_the_browser_in_android

  • 1. Fourteenforty Research Institute, Inc. 1 Fourteenforty Research Institute, Inc. Fourteenforty Research Institute, Inc. 株式会社 フォティーンフォティ技術研究所 http://www.fourteenforty.jp Ver 2.00.01 Man in the Browser in Androidの可能性
  • 2. Fourteenforty Research Institute, Inc. • 現在スマートフォンセキュリティの関心が高まっている • 一方で従来からのWindows PCでもマルウェアの攻撃手法が高度化してき ており、その一つの例が最近ニュースでも取り上げれているオンラインバ ンクを狙ったMan in the Browser (MITB)である • スマートフォンユーザーが増えるにつれて、スマートフォン上でオンライン バンクを利用する人も増えると予測される 2 Androidの普及とMan in the Browser スマートフォン上で、これまでWindowsで起きていたMITB攻撃が成立するのか、 対策方法があるのかを考える必要がある
  • 3. Fourteenforty Research Institute, Inc. • ブラウザ内に侵入して、画面を書き換える、送信されるデータを書き換え る、パスワードを盗むなどを行う攻撃手法 • 主にオンラインバンクへのアクセスを監視、ユーザーの入力の搾取、改ざ んを行う • 二要素認証を用いても、正規のセッション、パスワードを攻撃時に用いる こともできるため防げない • 具体的な攻撃例については以下を参照 – http://www.fourteenforty.jp/assets/files/monthly_research/MR20120 7_browser_treat.pdf 3 Man in the Browser (MITB)とは
  • 4. Fourteenforty Research Institute, Inc. • MITBと似た用語としてMITMOがあるが、別の概念である • モバイル端末にアプリをインストールさせることで、SMSメッセージを利用した認証 を回避して攻撃を成功させるための方法 • MITBと組み合わせて攻撃に利用される • 典型的なシナリオは以下のようなもの – デスクトップPCなどをMITBを用い攻撃し、 「セキュリティ上必要」などのうその 理由を表示させることで、利用者のモバイル端末にマルウェアをインストール させる。同時にログイン情報も盗む。 – 攻撃者は盗んだログイン情報を用いて、振り込み操作を行う。振り込みを完了 させるにはSMSで送られてくる認証コードが必要だが、モバイル端末上のマル ウェアがそれを攻撃者側に転送する。 – 攻撃者は取得した認証コードを用いて振り込みを完了する。 • MITMO ≠ MITB 4 Man in the Mobile (MITMO)とMITB
  • 5. Fourteenforty Research Institute, Inc. 5 Man in the Mobile (MITMO)の流れ 被害者 モバイル端末 攻撃者PC 被害者 デスクトップPC オンラインバンク ①MITB攻撃を 仕掛ける ②画面を改ざん うそのメッセージ表示 ↓ マルウェアをモバイルにインストールさせる ログイン情報も同時に盗み出す ③ユーザーが マルウェアを インストール ④盗んだログイン 情報でログイン、 振込操作 ⑤認証コード送信 ⑥マルウェアが認証 コードを攻撃者側に 送信 ⑦認証コードを用い 振り込み完了
  • 6. Fourteenforty Research Institute, Inc. • MITBやMITMOは攻撃コードやデータが存在する場所に着目した分類 – ブラウザ内 : MITB – モバイル端末内 : MITMO • MITMは攻撃の形態の一つ。MITBやMITMOと組み合わせて利用されること もあるが、それ以外のものも存在する。 • それぞれ独立した概念であり、組み合わされる場合もあれば、そうでない場 合もある MITB, MITMO, MITM(Man in the Middle)の関係 6 MITB MITMO MITM 今回は、この領域の可能性 について考える
  • 7. Fourteenforty Research Institute, Inc. • MITBと言った場合、デスクトップPCのブラウザ内部に侵入しページの改ざ んを行うものを指すことが多い • これまで、モバイルのブラウザに侵入するような脅威は報告例がない • 今回は、モバイル端末として普及しているAndroidのブラウザに侵入する 攻撃方法があるのか、あるとすれば対策はあるのかを検証する 7 MITB in Android
  • 8. Fourteenforty Research Institute, Inc. Windows • Windowsで起きるMITBがそのままAndroidで起きるか? – Windowsでは、マルウェアを実行してしまうと、同じユーザーで動作させている他のプロ セスのメモリを変更可能 – MITBの基本的な手法として利用される • Androidでは各プロセス(アプリ)が別ユーザーとして動いており、他のプロセスにアクセスで きないように設計されている • Androidマルウェアをインストールしてしまってもブラウザそのものへの影響は原則ない 8 AndroidとPC(Windows)との大きな違い Malware Process Browser Process Android Malware Process Browser Process Androidではマルウェアが直接ブラウザに介入することができない
  • 9. Fourteenforty Research Institute, Inc. • Androidにおいて、ブラウザに介入できるとすれば、以下の4つの可能性が 考えられる – root化端末への侵入 – Androidシステム自体の脆弱性 – Browser Extension – Class Loading Hijacking脆弱性 9 Man in the Browser in Androidの可能性
  • 10. Fourteenforty Research Institute, Inc. • root化端末では、他のプロセスへの介入が可能となる • root権限を持つプロセスからはメモリの書き換えやファイルの置き換えな どが自由に可能 → 無防備な状態 • プロセスのメモリの直接の書き換えのほか、アプリケーションの置き換え や、Dalvik-Cacheの置き換えなど、さまざまな手法でMITBを実現できる • root化をした状態でAndroidを利用しないことが対策となる 10 root化端末への侵入
  • 11. Fourteenforty Research Institute, Inc. root化済みAndroid 11 root化端末への侵入 Malware Process Browser Process Android Malware Process Browser Process root化によりマルウェアがブラウザに介入できるようになる LSMの効果 root化されていても、Android端末ではLSM(Linux Secure Modules)によって、root権限でで きること(他のプロセスへの介入など)が制限されていることがある。ただし、LSMが有効で あっても、他のプロセスへの介入が可能になる例も報告されており(*1)、root化した端末では MITBに対するリスクは相対的にはかなり高くなるといえる。 *1 http://www.fourteenforty.jp/assets/files/research/research_papers/yet-another- android-rootkit.pdf root化
  • 12. Fourteenforty Research Institute, Inc. • Androidシステム自体に脆弱性がある場合、root化される、ブラウザプロセスを乗っ取られる といった可能性がある • ブラウザが読み込むライブラリに脆弱性があり、任意のコードが実行可能であった場合、 MITBは可能となる – ただし、ASLRやDEPなどの実装により最近のAndroidではこのタイプの攻撃は困難にな ってきている • 対策としてはアップデートを適切に行うことが挙げられる 12 Androidシステム自体の脆弱性 Version -2.2 2.3-,3.0- 4.0- 4.1- DEP(スタック) × ○ ○ ○ DEP(その他) × ○ ○ ○ ASLR(スタック) ○ ○ ○ ○ ASLR(ヒープ) × × △ ○ ALSR(モジュール) × × △ ○ AndroidのDEP, ASLRへの対応状況 http://www.fourteenforty.jp/assets/files/research/research_papers/InternetWeek2011_s10-02.pdf より一部修正、追記して転載
  • 13. Fourteenforty Research Institute, Inc. • Android版Firefoxはブラウザアドオンをサポート • 悪意あるアドオンを導入してしまった場合、画面等を書き換えられる可能 性がある • アドオンが安全かどうか判定する明確な方法はない • AMO(addons.mozilla.org)には、審査を通ったもののみが登録されている • 対策としては、ウェブページなどで促されるままにAMO以外からアドオンを 導入しないこと 13 Browser Extension
  • 14. Fourteenforty Research Institute, Inc. • AndroidにはClass Loadingという外部のDEXコードを読み込む機能があり 、ネットワーク上のファイルなどをコードとして取り込める • Class Loadingの仕方を間違えると、WindowsのDLL Hijackingと同様の脆 弱性を作りこんでしまう • ただし、Android APIのドキュメントにも注意書きが存在しており、主要ブラ ウザでこのような問題を作りこんでしまう可能性は低い • Android Class Loading Hijackingについては以下を参照 – http://www.symantec.com/connect/blogs/android-class-loading- hijacking 14 Class Loading Hijacking脆弱性の利用
  • 15. Fourteenforty Research Institute, Inc. • MITBではないが、多くのMITBを利用した攻撃が最終目標とするオンライ ンバンクのデータ通信の搾取、改ざんという攻撃を行うために使われる可 能性のある方法として、ブラウザ以外の銀行専用アプリへの攻撃が考え られる • これらにClass Loading Hijacking脆弱性がある場合、それらのアプリの改 ざんによりMITB同様の攻撃が可能となる • また、専用アプリに似せた偽アプリを利用してしまうことで攻撃される可能 性がある。 15 (参考)Browser以外での脅威
  • 16. Fourteenforty Research Institute, Inc. 16 MITB in Androidの可能性と対策 可能性 対策 root化端末への侵入 root化を故意に行わない root化した端末を利用しない Androidシステムの脆弱性 システムのアップデート Browser Extension AMO以外からのアドオンのインストー ルを控える Class Loading Hijacking ブラウザのアップデート ユーザーが行える対策をまとめると、以下のようになる
  • 17. Fourteenforty Research Institute, Inc. • AndroidのブラウザのMITBによる攻撃はWindowsなどに比べるとハードル が高い • ただし、root化によってそのリスクは上がる • root化されてない場合、システムの脆弱性やブラウザプラグインの利用と いった可能性が残る • root化端末を利用しないことが第一の対策となる • MITBに関して言えば、マルウェアを実行してしまうだけで、MITBが可能と なってしまうWindows PCを利用するよりも、Androidを利用したほうが安全 • MITB以外の、フィッシングや、偽アプリにはWindows PC同様注意が必要 17 まとめ