Уразливість в Приват24 для Android та iOS
22:45 13.09.201306.06.2013
У березні, 14.03.2013, я знайшов уразливості в Privat24 для Android та iOS. Але про ці уразливості я розповім трохи згодом (ПриватБанк все ще відмовляється їх виправляти, після багатьох місяців роздумів над цими уразливостями, і я все ще продовжую переконувати ПБ в необхідності їх виправлення). А зараз розповім про нову уразливість, що я виявив сьогодні. Це Insufficient Process Validation уразливість, що дозволяє обійти OTP в Приват24 для Android. Перевіряв у цій версії, а пізніше підтвердив те саме у версії для iOS.
Про що вже повідомив розробникам системи. Бо ця уразливість дозволяє легко отримати доступ до акаунтів користувачів (при наявності номера телефону і статичного пароля, без введення OTP) та викрасти їх гроші. На що ПБ відповів, що вони в курсі цієї проблеми і працюють над нею. Але як я перевірив на наступний день, вони досі не виправили цієї уразливості.
Детальна інформація про уразливість з’явиться після її виправлення. Спочатку дам ПриватБанку можливість її виправити.
13.09.2013
Враховуючи, що більше трьох місяців ПриватБанк не може виправити дану уразливість в мобільній версії Приват24, то я оприлюднюю її деталі. При тому, що після мого повідомлення 06.06.2013, за цей час я ще декілька разів нагадував ПБ про цю уразливість. Більше схоже, що банк просто не хоче цього роботи, вважаючи новий алгоритм роботи мобільного Приват24 “більш зручним” для користувачів (за рахунок погіршення безпеки).
Insufficient Process Validation (WASC-40):
При вході в Приват24 через клієнти для Android та iOS не запитується OTP (як це було до червня цього року). Тобто без підтвердження одноразовим паролем, який приходить по SMS, можна увійти в акаунт - на відміну від веб сайта Приват24, де OTP завжди запитується і цей функціонал нормально працює увесь час.
Єдиний раз, коли смс-ка з OTP приходить - це на новому пристрої, для прив’язки його до акаунту. Після цього більше жодних OTP не приходить. Це можна обійти або при доступі до телефону чи плантшету жертви або використовуючи першу уразливість, зі знайдених мною в Приват24 раніше. Що цікаво, від одного клієнта ПриватБанка я дізнався, що на початку червня (коли виникла ця проблема), був невеликий період часу, коли в Приват24 можна було входити навіть без паролю, лише запустивши мобільний додаток.
Таким чином для атаки потрібно лише знати логін і статичний пароль користувача Приват24. Які можна отримати за допомогою вірусу на мобільному пристрої, або за допомогою вірусу на персональному комп’ютері, або через фішинг атаку в Інтернеті. Фішинг атаку можна зробити як на окремому сайті, так і через XSS уразливості на будь-яких сайтах ПБ, приклад подібної атаки я навів 08.02.2008 в своїй доповіді про Інтернет безпеку. Якщо через веб сайт у Приват24 не зайдеш без OTP, знаючи лише логін і пароль, то це можна зробити через мобільні додатки Приват24.
Перевірено в Privat24 3.27.2 для Android та Privat24 4.8.6 для iOS.
Дана уразливість досі не виправлена.
P.S.
Розмістив демонстраційне відео Vulnerability in Privat24.
П'ятниця, 21:21 07.06.2013
Ну ПриХВат банк як завжди думає виправляти чи ні, а от тим часом баг з ОТР вже використовується хакерами.
П'ятниця, 23:31 07.06.2013
Дуже вже довго вони роздупляються. Я думав вони виправлять ще вчора в день, після мого повідомлення. Але ні вчора, ні сьогодні так і не виправили. І цілком можливо, що цей баг є вже багато днів, це я лише в четвер його виявив (бо рідко заходжу в Приват24 саме через Android клієнт) - виходячи з їхньої заяви, що вони вже в курсі про цю проблему.
А тим часом цей баг можуть використати всі хакери кому ні ліньки. Про фішинг атаки на П24, які відбуваються кожного року, я пишу регулярно. І отримавши логіни-паролі через фішинг атаки або через трояни та інші віруси, можна буде отримати кошти користувачів ПБ. Дуже несерйозно банк затягує виправлення цієї уразливості.
Неділя, 04:36 09.06.2013
Так а когда они реагировали быстро?)) я отправлял не раз им информацию о уязвимостях, несколько раз платили, но рассматривали это все месяц! а исправляли еще месяц) так что ни о каких “на следующий день” речь не идет вообще))
Вівторок, 23:24 11.06.2013
Ты прав, никогда быстро не реагировали . Просто я надеялся, что для данной дыры они отреагируют быстро (к тому же они заявили, что о данном баге им известно, т.е. они могли уже неделю или больше как думать над исправлением). Раз на мои предыдущие уязвимости в Приват24 они с марта по апрель думали, а потом заявили, что считают эту атаку сложной и не исправили, а в данном случае атака значительно упрощается (по сравнение с той дырой, о которой я писал им в марте) - можно быстро и просто обойти OTP - то я ожидал, что на этот раз они быстрее отреагируют. А на деле вышло “как всегда” и с прошлой недели (когда я выявил дыру, а реально может быть ещё дольше) так до сих пор не исправили.
С их программой по выплатам за уязвимости я работаю с октября. И если в прошлом году они два месяца тратили на исправления, то в этом году в зависимости от уязвимостей это варьируется от одного до нескольких месяцев (в среднем два). Причём за месячный термин они реже исправляют, а чаще отвечают отказом - приходится потом им доказывать, что дыры реальны, и если на других сайтах это мне удавалось, то на мобильном Приват24 они упорно забивают на дыры и всячески их не признают реальными.
Но я ещё надеюсь им это доказать, иначе я опубликую детали, раз им не интересно, то пусть клиенты ПБ почитают и сами сделают выводы о безопасности Приват24 (буду на них влиять разными путями). Что интересно, с начала года они уже более сотни дыр исправили уведомленных мною, а одну дыру от 05.01.2013 так до сих пор и не исправили (первую, что я нашёл и уведомил их в этом году). Так что в разумные сроки они не всегда вкладываются - за более 5 месяцев можно было уже её исправить (тем более, что на этом сайте уже исправили несколько других дыр).
Вівторок, 01:44 01.10.2013
Немного неправ автор.
Суть ОТР СМСки в дополнительном факторе для двухфакторной авторизации - т.е. кроме знания пароля, нужно обладать карточкой мобильного оператора.
В случае ж с Андроидами и иПхонами - нет смысла проверять наличение фактора в виде симки, ведь если есть сам телефон на котором работает прога - то симка почти наверняка будет.
Фактор симкарты просто заменён на какие-то cookies или скрытые/секретные данные размещенные на телефоне.
Это в итоге дало удобство клиентам, ничегор сильно не теряя.
С прогами на Android/iPhone там другие более важные глюки есть по безопасности, но это уже другая история…
Четвер, 23:58 03.10.2013
Privet Bank!
Если ты не разобрался с сутью моей уязвимости, то вначале разберись и пойми её риск, а уж потом делай заключения об её актуальности. К примеру с этой дырой мы с ПриватБанком обсудили всё ещё 06.06.2013 - сразу как я им сообщил о ней, они сразу же подтвердили её и признали, что они считают это уязвимостью, достаточного риска и якобы работают над оперативным её исправлением. Хотя так за практически 4 месяца и не исправили.
Так что с ПБ все аспекты этой уязвимости обговорены и более обсуждать здесь нечего - у них вопросов никаких нет по этому поводу. Главное, чтобы на практике исправляли, а не втихаря отключали функционал в угоду мнимому удобству пользователей.
В этом ты сильно ошибся, как и Приватовцы. Это было априори ложное предположение, что симка наверняка будет. Что у тебя, что у них одна и та же ошибка. И в своём описании и в видео я наглядно показал, что это не так. А именно: помимо смартфонов (Android, iOS) есть ещё другие устройства, такие как планшеты на этих ОС и iPod Touch. И в моём видео я снял своим iPod Touch свой Android планшет - на обоих этих устройствах я подтвердил данную уязвимость. И оба этих устройства не имеют симки и в них программой произведена привязка, после чего при доступе к этим устройствам можно будет получить доступ в аккаунт П24 без наличия телефона. А такие устройства как планшеты с собой люди обычно не носят, по сравнению с телефонами/смартфонами, так что к ним легко получить доступ. Не говоря уже о другом описанном мною векторе атаки (с использованием других найденных мною дыр) - захват чужих аккаунтов с мобильных клиентов П24 без доступа к телефонам и любым другим девайсам пользователей.
Без сомнения есть много других уязвимостей в мобильных приложениях ПБ. О чём я им многократно сообщал в этому году и над многими они месяцами думают (и смотрят сделанные мною видео), в том числе я уже анонсировал другие дыры в Приват24, которые нашёл ещё в марте и которые ПБ решил проигнорировать, хотя ещё 06.06.2013 я навёл им дополнительные аргументы, когда сообщал о новой дыре.
Неділя, 12:18 13.10.2013
Недавно виявив у Привата CRLF-Injection, але. як вони сказали, їм відомо про даний баг. Тим не менше одразу його прикрили
Неділя, 16:05 13.10.2013
Таки одразу? В мене ще не було жодного випадку з ПриватБанком, навіть коли повідомляв їм про критичні SQL Injection, щоб виправляли в той же день.
Ти знаєш, за весь час, як я повідомляв їм про тисячі дірок на їхніх сайтах, лише одного разу трапилася ситуація, коли вони заявили, що вже знають про вказану дірку. Але все ж таки це мало місце і саме стосовно вищезгаданої Insufficient Process Validation, що я виявив 06.06.2013.
Одразу ж відповіли, що в курсі про дірку і працюють над її виправленням. Але так досі й не виправили. У тебе хоч оперативно дірку виправили . В мене є випадок, коли одну дірку вже 9,5 місяців не можуть виправити, хоча я вже більше десяти разів їм нагадував (і таких “довгобудів” в них чимало). Тому й можливі подібні ситуації, як у тебе.
Неділя, 18:56 13.10.2013
Ну я перевірив через 72 години і дірка була виправлена. Але чомусь сумніваюся, що вони про неї знали)