viernes, 5 de agosto de 2016

Cómo saltarte un login basado en códigos QR

Todos estamos familiarizados con las diferentes aplicaciones como WhatsApp que nos permiten acceder a nuestras cuentas utilizando un código QR (SQRL o Secure Quick Response Login). Para poder acceder, la aplicación nos muestra el código en pantalla y nosotros sólo tenemos que escanearlo con el smartphone, sin necesidad de utilizar contraseñas.


Image 1: Cómo saltarte un login basado en códigos QR      

En la actualidad este método es considerado más seguro que la autenticación mediante contraseñas, debido a que previene los ataques MiTM y de fuerza bruta, sin embargo un investigador ha publicado una técnica para comprometer esta protección conocida como secuestro QR basado en sistema de acceso, o simplemente QRLJacking.

El investigador Mohamed Abdelbasset Elnouby ha sido capaz de demostrar cómo hackear las cuentas de los servicios que hacen uso de este sistema basado en la autenticación de código QR. De manera que el atacante sólo tendría que convencer a la víctima para que lea sus códigos QR maliciosos.


Imagen 2: ataque de QRLJacking

Secuencia del ataque:

1- El atacante inicia una sesión con QR y clona el código en una página de phishing. 

2- El atacante envía el phishing a la víctima. 

3- Si cae en la trampa, la víctima escanea el código QR con la aplicación móvil correspondiente. 

4- La aplicación móvil envía el token secreto para el servicio de destino para completar el proceso de autenticación. 

5- Como resultado, el atacante consigue el control sobre la cuenta de la víctima. 

6- Luego el servicio inicia el intercambio de todos los datos de la víctima con la sesión del navegador del atacante.


"Lo que los atacantes necesitan hacer para llevar a cabo con éxito un ataque QRLJacking es escribir un script para clonar periódicamente los códigos QR expirables y refrescar los que aparezcan en la página web de phishing creada, porque como sabemos un proceso QR Login bien implementado debe tener una intervalo de caducidad para los códigos QR".


Aquí tenéis el vídeo con la demostración:





domingo, 31 de julio de 2016

El problema de usar cuentas de correo temporales

Hace tan sólo unos días, os mostraba algunos servicios online que nos proporcionaban una cuenta de correo electrónico o un número de teléfono móvil temporal, también os comentaba que estos servicios son completamente públicos, por lo que cualquiera que entre a la bandeja de entrada, puede consultar con total libertad los últimos mensajes recibidos.


Imagen 1: El problema de usar cuentas de correo temporales

Teniendo todo esto en cuenta, vamos a ver como nos podemos aprovechar de la total falta de privacidad de uno de estos servicios. En concreto visitaremos la página yopmail.com, que ofrece a sus usuarios un servicio temporal de correo electrónico y según su eslogan: "your own protection mail".

Entramos a dicha página y lo primero que nos pide es que introduzcamos una cuenta de correo temporal, por ejemplo podemos escribir "gamer", algo que cualquier aficionado a los videojuegos pondría. Luego de hacer esto, se nos muestra la bandeja de entrada, y podemos ver como muchas otras personas han utilizado el mismo "alías" para su cuenta de correo temporal, ya que nos encontraos mensajes de todo tipo (la mayoría spam).


Imagen 2: Interfaz inicial de YOPmail

Si nos fijamos bien nos damos cuenta de que existen bastantes personas que utilizan el servicio para la recuperación de cuentas o para el registro en algún otro servicio web. Por lo que solo tenemos que hacer una breve búsqueda en los últimos mensajes, para encontrarnos emails donde directamente encontramos el usuario y contraseña, o el código de recuperación de alguna cuenta de Skype, Netflix, Steam ...


Imagen 3: Correo de Steam con código de respaldo

Imagen 4: Correo para la recuperación de una cuenta de Skype

También podemos conseguir algunas de estas cuentas, aprovechándonos del hecho de que al haber sido creadas con la misma dirección de ese "correo temporal", sólo tenemos que introducir el user en el servicio correspondiente y pedir que nos mandan un email de recuperación al correo. A partir de aquí solo tendríamos que seguir los pasos habituales para cambiar o recuperar la contraseña. 

Por todo esto, es por lo que os decía en el post anterior que tenemos que tener mucho cuidado con el uso que le damos a estos servicios, ya que si los utilizamos para la creación o recuperación de cuentas en otros servicios web, tenemos muchas posibilidades de que nos roben las credenciales por haberlas publicado nosotros mismos.