SPINNER: falla en la forma de verificación de SSL/TLS permite realizar ataques MitM.



Un equipo de investigadores en seguridad ha descubierto un fallo en la implementación de SSL/TLS de aplicaciones bancarias para móviles, el cual deja las credenciales de millones de usuarios expuestas a atacantes.




La vulnerabilidad fue descubierta por los investigadores del Grupo de Seguridad y Privacidad perteneciente a la Universidad de Birmingham, que probó cientos de aplicaciones bancarias diferentes tanto en iOS como Android, descubriendo que algunas de estas están afectadas por un mismo fallo que dejaba a los usuarios expuestos a ataques Man-in-the-Middle.






Entre las aplicaciones afectadas se encuentran las de bancos como HSBC, NatWest, Co-op, Santander y Allied Irish Bank, que fueron actualizadas nada más publicar los investigadores su hallazgo. Según el "Spinner: Semi-Automatic Detection of Pinning without Hostname Verification" [PDF] que  publicaron los investigadores, las aplicaciones vulnerables podrían permitir a un atacante conectado en la misma red que la víctima interceptar conexiones SSL/TLS y obtener sus credenciales bancarias, además de nombres de usuario, códigos PIN y contraseñas. El requerir de estar en la misma red para llevar a cabo el ataque limita bastante los contextos en los cuales puede ser llevado a cabo.




El ataque puede ser llevado a cabo incluso si las aplicaciones están usando Pinning, una característica de seguridad que evita los ataques Man-in-the-Middle a través de la habilitación de una capa adicional de confianza entre los dispositivos y los host listados. Así se consigue neutralizar los ataques basados en redes en los cuales los actores maliciosos podrían intentar utilizar certificados válidos emitidos por autoridades deshonestas.




Hay dos partes clave en la verificación de una conexión SSL. Primero, se intenta verificar la autenticidad del certificado para comprobar si procede de una fuente confiable. Segundo, en el proceso de autorización se asegura de que se esté presentando el certificado correcto ante el servidor al que se quiere conectar. Los investigadores encontraron que algunas aplicaciones bancarias no verificaban el nombre de host, debido a que no comprobaban que estuviesen conectadas a una fuente confiable. En la verificación del nombre de host de la URL a la cual se conecta la aplicación bancaria, este tiene que coincidir con el nombre de host del certificado digital que el servidor envía de vuelta como parte de la conexión SSL.








Pero el problema con la verificación de la conexión SSL no ha sido el único hallado por los investigadores, ya que en las aplicaciones de Santander y Allied Irish Bank también se ha hallado la posibilidad de llevar a cabo un ataque de phishing que podría permitir a un atacante secuestrar parte de la pantalla de víctima mientras la aplicación está en ejecución, pudiendo así hacerse con las credenciales de acceso.

man-in-the-middle-attack-ssl-pinning
En la investigación se probaron cientos de aplicaciones, algo que en teoría tendría que llevar mucho tiempo. Sin embargo, los investigadores automatizaron dicho proceso en base al motor de búsqueda Censys para encontrar cadenas de certificados para host alternativos que solo difieren en la rama.


________________________________________________________________
Tomado de: https://blog.segu-info.com.ar/2017/12/spinner-falla-en-la-forma-de.html
Se Respetan Derechos de Autor.