QRLJacking επίθεση μπορεί να παρακάμψει οποιοδήποτε QR Login System

Η επίθεση λειτουργεί ως εξής: Ζητώντας έναν κωδικό QR για την υπηρεσία, στην οποία το θύμα προσπαθεί να συνδεθεί γίνεται τροποποίηση του QR κωδικού για να στείλει το μήνυμα επιβεβαίωσης στον υπολογιστή του εισβολέα.Ο απατεώνας μπορεί να τροποποιήσει αυτές τις λεπτομέρειες σύνδεσης, να προσθέσει δεδομένα που ανήκουν στο PC του, να μεταδώσει δεδομένα από το τηλέφωνό του σε έναν προεπιλεγμένο login διακομιστή και να αποκτήσει πρόσβαση στο λογαριασμό του θύματος από τον υπολογιστή του.

Αυτή η επίθεση χρειάζεται τόσο τον επιτιθέμενο όσο και το θύμα να είναι online την ίδια στιγμή και ένα ποσοστό τεχνικών δεξιοτήτων που απαιτούνται για την τροποποίηση των QR κωδικών που φαίνονται από τις Web υπηρεσίες που τους χρησιμοποιούν.

Τα SQRLs έχουν γίνει πολύ δημοφιλή τα τελευταία χρόνια και χρησιμοποιούνται συχνά σε ιστοσελίδες όπως το WhatsApp και άλλες εφαρμογές ανταλλαγής μηνυμάτων.

Σε μια ανάρτηση στο Facebook, ο Baset λέει ότι δοκίμασε την επίθεσή του σε ιστοσελίδες όπως οι WhatsApp, WeChat, Line, Weibo, QQ Instant Messaging, QQ Mail, Alibaba και πολλές άλλες.

Ο Baset περιγράφει το QRLJacking ως μια βασική session hijacking επίθεση που κλέβει το session σας στο βήμα σύνδεσης και στέλνει τα δεδομένα στον απατεώνα.

qrljacking-can-bypass-any-qr-login-system-506818-4
qrljacking-can-bypass-any-qr-login-system-506818-3
qrljacking-can-bypass-any-qr-login-system-506818-5

Η επίθεση είναι δύσκολο να έρθει εις πέρας και επειδή χρειάζεται και τα δύο μέρη την ίδια στιγμή να είναι online, είναι πιθανό να γίνει ένα εργαλείο στο οπλοστάσιο των APTs αντί των κλασσικών κυβερνο-εγκληματιών που θα εξακολουθούν να ευνοούν την ευρύτερη προσέγγιση των τυχαίων spam και phishing εκστρατειών.

Η ανακάλυψη του Baset του ρίχνει μια σκιά αμφιβολίας πάνω στο αήττητο SQRL ως ένα σύστημα σύνδεσης, ένα σύστημα που έχει ήδη χαρακτηριστεί ως η τέλεια μέθοδος σύνδεσης, ο μόνος τρόπος που «μπλέκει» ένα single-sign-on (SSO) και τον έλεγχο ταυτότητας δύο παραγόντων (2FA) σε ένα σύνολο απλών διαδικασιών.

Φυσικά, αν ένας χρήστης λαμβάνει υπόψιν του το URL της σελίδας μέσω του οποίο πρόκειται να συνδεθεί σε έναν λογαριασμό του, σαν μια βασική anti-phishing τεχνική, το QRLJacking μπορεί να μετριαστεί όπως και κάθε άλλη social engineering επίθεση.

Περισσότερες λεπτομέρειες σχετικά με το QRLJacking μπορείτε να βρείτε στο GitHub (proof of concept code) και στο OWASP (τεχνικές λεπτομέρειες). Ακολουθούν βίντεο επίδειξης παρακάτω:

Πηγή:secnews.gr

Δεν υπάρχουν σχόλια

Παλαιοτερες αναρτησεις
Από το Blogger.