20 meneos
369 clics
Las nuevas aplicaciones de banca móvil tienen nuevos (y graves) problemas de seguridad
Un estudiante de postgrado hackea una popular aplicación de banca para móviles para que otros no lo hagan antes
|
comentarios cerrados
Para acceder a poder hacer una transferencia una vez logeado tienes un segundo método de seguridad ya sea por tarjeta de barcos o por mensaje a tu dispositivo móvil...
¿Como hace para quitar esa barrera?
También precisamente habla del problema que supone en su seguridad cambiar uno de los dos pasos de autenticación a mensajes enviados por SMS al mobil o bien directamente a la misma aplicación (se implica lo que está pasando, que se están eliminando las tarjetas de coordenadas)
Joder, leeros el artículo, que son cuatro párrafos y no es para nada tan técnico.
Aún así no lo veo, es decir para hackear la cuenta tienes que primero robar la password (DROPBOX) localizar el terminal del tío y luego ingeniártelas para que instale una app fuera de la tiendas oficiales?
Simplemente subes a la play store una app falsa identificandote como el desarrollador original, se actualiza automáticamente en unos cientos de dispositivos, y hasta que se entere la empresa, a disfrutar!
Si simplemente es una aplicación con malware, la subes normal a la play store (a diferencia de la app store, no verifican troyanos ni nada, bueno, en realidad sí, pero se les cuela de todo) y a la que la peña se instala "tu controlador de batería gratis" que incluye el malware y pide permisos para leer SMS y mensajes, todo ok, listo también.
Ok, con las más populares (Face, Snap, y tal) no se podría pero quizás en alguna (las de ver pelis, series y tal) si podría colar por lo menos hasta que el usuario abra la aplicación... Pero sigo pensando que tiene que coincidir que sepas la clave de la app del banco y que tenga instalada la aplicación en concreto con actualizaciones automáticas...
No tienes que saber nada:
- Subes la app falsa
- *Se la instala todo kiski que tenga actualizaciones automáticas activadas (no hay acción del usuario por ningún lado)
- Los que la tengan, la abren, hacen alguna operación, miran sus cuentas (tu app como hace de "intermediario", roba todas las claves que ve.
(Joder, explicado así hasta parece sencillo )
*Edit: Si tu hash de desarrollador, el nombre de la app, y la versión de la app son las correctas, esto pasa y punto.
Edit2: Y eso sin perder de vista que no estamos usando Phishing (engañando al usuario para que haga algo) en ningún momento. Todo es desatendido. Sin "ingeniería social"
- Subes la app falsa ---> ¿PERO esta app falsa dices que simula la operativa y apariencia de la del banco?
- *Se la instala todo kiski que tenga actualizaciones automáticas activadas (no hay acción del usuario por ningún lado)
- Los que la tengan, la abren, hacen alguna operación, miran sus cuentas (tu app como hace de "intermediario", roba todas las claves que ve. --> Hace de intermediario, será a través de servicios que ofrece el banco porque si no desde tu app como muestras las cuentas del usuario, como haces una peticion al banco desde la app falsa a la operativa real del banco...
No se, algo me pierdo
Una app puede ser tan sencilla como una web. Esta web puede tener "el aspecto" de la app original, comunicarse con la app original enviándole todo lo que el usuario envía y viceversa. En el proceso, te quedas con los datos.
Lo siento, pero si no lo entiendes ya no soy capaz de explicarlo mejor,
No es que no lo entienda es que lo pones tan fácil que engañas a la gente...
<Esta web puede tener "el aspecto" de la app original> ¿Tu sabes el curro que tiene eso?
<comunicarse con la app original enviándole todo lo que el usuario envía y viceversa> ¿Como te comunicas con la app original? Si todavía me dices que se comunica a traves de la Web del banco, todavía pase..
<En el proceso, te quedas con los datos.> ¿Y el cifrado? O como dice la RAE ahora el encriptado?
Por cierto en la noticia dice que no lo hace con Phishing porque dice su profe que era ilegal, pues poner esta app intermedia también es ilegal de cojones...
Ahora ya me cuadra todo.
Pequé de ingenuo (sí, matadme )
Lo que realmente no me cuadra es que el tipo ese no lo haga con Phissing porque dice el profe que es ilegar y aún así pueda hackear una cuenta...
Todavía no me queda claro como lo hace...
No tienes que desencriptar nada (sí, uso encriptación, de criptografía, que se basa en criptogramas. Si le queréis llamar cifrado, a mí plim). Lo pillas todo del mismo usuario ya que tu aplicación es un frontend (pillas pantallazos instalandote la auténtica tu mismo, hay mil maneras de copiar la app original, hay hasta manuales de cómo hacerlo).
Lo he explicado así a alto nivel sin saber tus conocimientos, claro que es laborioso, pero bastante al alcance de cualquiera que sepa interpretar un manual (y ojo, que yo no me dedico a la seguridad, sólo soy sysadmin) pero está todo hasta documentado con manuales paso a paso de como hacer éstas cosas. Incluso aquí en menéame hay publicaciones de hace unos meses detallandolo (ya sé que suena típico, pero no lo encuentro ahora ya que está llenísimo de fallos de android, si no me crees *"www.meneame.net/search?q=fallo+seguridad+android")
Es exactamente lo mismo que "espofear" la wifi de un mac o ios, no es trivial, pero está documentadísimo.
*Edit: Muchas de esas noticias ya incluyen manuales para explotar esos fallos. Para que te hagas una idea viendo uno o dos.