• Inicio
  • Noticias
  • La mayoría de las aplicaciones de autenticación móvil tienen un defecto de diseño que puede ser pirateado

La mayoría de las aplicaciones de autenticación móvil tienen un defecto de diseño que puede ser pirateado

Una nueva investigación muestra que la mayoría de las aplicaciones que se utilizan para la autenticación móvil tienen vulnerabilidades graves, incluso si se utiliza la seguridad del hardware. 08 de octubre de 2021 09:00 a.m., hora de verano del este

SINGAPUR– (BUSINESS WIRE) – La digitalización está impulsando la demanda de identidades digitales sólidas . Una encuesta reciente de McKinsey 1  informa que la crisis de Covid-19 había acelerado enormemente el ritmo de la digitalización en todo el mundo. La mayoría de los encuestados han revelado que al menos el 80 por ciento de las interacciones de sus usuarios o clientes eran ahora de naturaleza digital, en comparación con solo el 58% justo antes de la pandemia. Desafortunadamente, esto también ha resultado en un número creciente de ataques cibernéticos en todo tipo de organizaciones, principalmente en forma de ataques de ransomware y el secuestro de cuentas financieras y en línea.

«Desafortunadamente, existe una falla general en su diseño arquitectónico que los piratas informáticos pueden aprovechar»

Esto, a su vez, ha impulsado el crecimiento del mercado de autenticación multifactor que ha sido valorado por ResearchAndMarkets.com en USD 10,64 mil millones en 2020 (y se espera que alcance los USD 28,34 mil millones en 2026 2 ). Para aplicaciones bancarias, de servicios financieros o de gobierno electrónico, esto significa adoptar algún tipo de 2FA (autenticación de dos factores). Por lo general, esto significaría una OTP (contraseña de un solo uso) basada en SMS o un código generado por un token de hardware o una aplicación de autenticación móvil.

Desafortunadamente, se ha demostrado que las OTP de SMS son inseguras y son vulnerables a la interceptación y los ataques de phishing. Los tokens de hardware son costosos de implementar, no son fáciles de usar y requieren un reemplazo regular. Los autenticadores móviles se consideran la opción más segura y conveniente, y muchos mantienen las claves criptográficas utilizadas para generar códigos OTP protegidas por hardware especializado integrado en los teléfonos (denominado entorno de ejecución confiable o TEE).

Sin embargo, «más seguro» no significa necesariamente «perfecto» y una nueva investigación sobre un defecto de diseño previamente pasado por alto refuerza esto demasiado bien.

Lo más preocupante es que si no se puede confiar en el autenticador en sí mismo, abre el servicio digital a la manipulación por parte de malware o la ingeniería inversa por parte de malos actores, lo que puede conducir a la apropiación de cuentas, la fuga de datos, el fraude o algo peor.

V-Key, con sede en Singapur, una empresa de seguridad digital basada en software que desarrolló el primer elemento virtual seguro del mundo, publicó recientemente un documento técnico que demuestra cómo la  mayoría de las aplicaciones de autenticación móvil pueden, de hecho, ser violadas por malware . Esto es independientemente de cualquier protección basada en hardware proporcionada por un teléfono.

La mayoría de las aplicaciones de autenticación utilizan claves criptográficas para generar los códigos utilizados para la identificación del usuario. Estas aplicaciones se pueden comparar con un cofre del tesoro que solo estas teclas pueden abrir. Si estas claves son robadas, el «botín» de un pirata informático es la capacidad de autenticar transacciones o firmar documentos en nombre de un usuario. Esta es la razón por la que la mayoría de las aplicaciones de autenticación intentan hacer uso del almacenamiento más seguro disponible para estas claves.

Para muchos desarrolladores, esto significa el entorno de ejecución confiable de un teléfono móvil. En los teléfonos Android, esto se conoce como StrongBox Keystore. En Apple, este es el Secure Enclave de iOS (que tiene un software complementario llamado Keychain que almacena datos encriptados como contraseñas).

«Desafortunadamente, hay un defecto general en su diseño arquitectónico que los piratas informáticos pueden explotar», dice el CTO de V-Key, Er Chiang Kai. “Hemos descubierto que el malware se puede utilizar para acceder a las claves de autenticación de un objetivo, lo que permite al pirata informático realizar transacciones no autorizadas o firmar documentos falsos. Esto es especialmente cierto para teléfonos con jailbreak, dispositivos rooteados o modelos susceptibles a lo que se conoce como «vulnerabilidad de escalada de privilegios». A este defecto de diseño lo llamamos ‘Brecha de confianza’ ”.

Como funciona esto exactamente? Imagine a alguien que usa una aplicación de autenticación móvil para generar OTP para 2FA o firmar documentos digitales. Un día ven un juego móvil interesante o una aplicación de asesoramiento sobre criptomonedas. Deciden descargarlo, instalarlo y probarlo.

Lo que el usuario no sabe es que esta aplicación de asesoramiento para juegos o criptografía es en realidad un malware que explota una vulnerabilidad de escalada de privilegios dirigida a su aplicación de autenticación móvil. La «escalada de privilegios» es el acto de explotar un error, una falla de diseño o la supervisión de la configuración en un sistema operativo o aplicación de software para obtener acceso a recursos (como claves) que normalmente están protegidos de otras aplicaciones o usuarios. El resultado es que el malware obtiene más privilegios de los previstos y, por lo tanto, obtiene acceso a datos confidenciales, así como la capacidad de realizar acciones no autorizadas.

Normalmente, las personas no piensan dos veces en la posibilidad de que alguien piratee su autenticador, ya que confían en que pueden confiar en la capacidad de Android Keystore o iOS Secure Enclave para proteger las claves criptográficas. Sin embargo, mientras juegan su nuevo juego o calculan las ganancias de su última apuesta criptográfica, un mal actor ya podría estar robando sus claves, o más exactamente, la clave de su autenticador, que se conoce como «semilla OTP».

Una semilla de OTP es la salsa secreta de muchos tokens de OTP. Este activo criptográfico (junto con un contador o la hora) se introduce en el algoritmo OTP del autenticador para producir un código OTP. Usando esta semilla de OTP, el pirata informático ahora puede generar OTP que son idénticas a las generadas por el autenticador del objetivo. En otras palabras, el hacker ahora prácticamente posee la identidad digital de un usuario.

Este es un ataque insidioso y sofisticado, ya que  la aplicación de autenticación dirigida ni siquiera necesita estar ejecutándose o manipularse para verse comprometida . Cuando se les preguntó sobre esta vulnerabilidad, tanto Google como Apple respondieron que, en última instancia, no eran responsables de lo que hacen los usuarios en sus teléfonos. Apple, en particular, señaló que este problema afecta principalmente a los iPhones con jailbreak, que en lo que a ellos respecta, van más allá del alcance del uso permitido. Esta posición es esencialmente similar a la que han adoptado los fabricantes de armas cuando se trata de muertes relacionadas con armas.

El escenario anterior se centra en las semillas de OTP. Algunos autenticadores se basan en otros tipos de activos criptográficos, como las claves de infraestructura de clave pública (PKI). Desafortunadamente, estos también se pueden clonar o robar de manera similar. El White Paper de V-Key proporciona más detalles sobre cómo los piratas informáticos pueden hacer esto.

En la prisa por crecer y adquirir tantos clientes como sea posible, los  desarrolladores de aplicaciones corporativas y de gobierno electrónico han pasado por alto de manera efectiva esta gran falla de seguridad  debido a la confianza fuera de lugar. Pero si las OTP de SMS e incluso las aplicaciones de autenticación móvil pueden verse comprometidas, y las capas del dispositivo y del sistema operativo pueden ser de poca ayuda, ¿dónde deja esto al usuario medio? ¿Cuál es la mejor manera de cerrar esta brecha en la confianza?

Según Er de V-Key, en última instancia ,  la mejor solución es proporcionar un medio para identificar cada punto final en el sistema  , ya sean aplicaciones, servidores o incluso dispositivos IoT individuales. Un elemento seguro vinculado a cada aplicación, como la solución App Identity de V-Key, puede servir como prueba de la identidad e integridad de una aplicación sin necesidad de autenticadores externos y sin comprometer la experiencia del usuario.

A medida que el mundo digital se expande a un ritmo cada vez más rápido, esta capacidad para habilitar la identidad y la confianza se vuelve fundamental. Después de todo, solo se necesita una aplicación de autenticación móvil comprometida para infiltrarse en un servicio digital corporativo o gubernamental y posiblemente derribar un sistema completo. Las pérdidas no se limitan solo a sanciones económicas y responsabilidades civiles, sino también a daños a la marca y la reputación, de los que a veces es imposible recuperarse.

Acerca de V-Key

V-Key es una empresa de seguridad digital basada en software cuya tecnología impulsa soluciones de seguridad ultra alta para la gestión de identidad digital, autenticación de usuarios y autorización. Cuenta con la confianza de clientes y socios como DBS, OCBC, UOB, entre muchos otros, para proporcionar servicios de identidad digital universales simples y seguros que conectan a personas, organizaciones y dispositivos en todas partes.

V-OS patentado internacionalmente de V-Key es el primer elemento virtual seguro del mundo cuyas protecciones criptográficas y de ciberseguridad avanzadas cumplen con los estándares globales (clasificación EAL 3+ y FIPS 140-2) previamente reservados solo para soluciones de hardware costosas.

 https://www.mckinsey.com/business-functions/strategy-and-corporate-finance/our-insights/how-covid-19-has-pushed-companies-over-the-technology-tipping-point-and -transformed-business-forever
 https://www.businesswire.com/news/home/20210311005630/en/28.34-Billion-Multi-factor-Authentication-Market—Global-Growth-Trends-and-Forecasts-2021-2026 —ResearchAndMarkets.com

Contactos

Victor R .Ocampo
victor.ocampo@v-key.com
+65 81126741
info@v-key.com

Síganos:
LinkedIn –  https://www.linkedin.com/company/v-key-inc/mycompany/
Twitter – @ v-key_inc
http://www.v-key.com/


Descargo de responsabilidad: realice su debida diligencia antes de tomar cualquier acción relacionada con la empresa promocionada o cualquiera de sus afiliados o servicios. Cryptopress® no será responsable de ningún daño o pérdida causados por su uso del contenido, bienes o servicios mencionados.

*Publica tu nota de prensa aquí.


Relacionado:

(Visited 4 times, 1 visits today)
© Cryptopress. Derechos reservados.