domingo, diciembre 07, 2014

Cómo te pueden robar tu Gmail con un ataque RTL-SDR

Esta semana me tocó dar una charla en un evento llamado 5Talks en el que me pidieron algún tema de seguridad en móviles. Para la ocasión yo llevé una charla que se llamó "Tu iPhone es tan (in)seguro como tu Windows" en la que recogía algunas de las formas en las que puede atacar un iPhone a pesar de su cifrado robusto. Todas ellas están en el libro de Hacking iOS {iPhone & iPad} y muchas de ellas han salido ya por este blog.

Figura 1: Cómo te pueden robar tu identidad con un ataque RTL-SDR

Entre todas las técnicas para atacar a un usuario con un smartphone, hay una que es curiosamente extremadamente peligrosa. Se trata de robar una identidad por medio de un ataque RTL-SDR de la forma más sencilla, haciendo algo similar a Robar una cuenta de Hotmail o Gmail usando Siri. Os cuento la idea.

He olvidado tu contraseña de Gmail o Hotmail

Si no has tenido precaución de poner un segundo factor de autenticación con Google Authenticator o con cualquier otro sistema para proteger identidades digitales, entonces tu cuenta está protegida solo por la contraseña, o por contraseña más OTP enviado por SMS.

Figura 2: Solicitar la recuperación de contraseña vía código SMS

Esto permite a cualquier atacante intentar quitarte la cuenta cambiando la contraseña de tu identidad siguiendo el formulario de "He olvidado mi contraseña". Entre los métodos que se pueden solicitar está el de envío de un código temporal de recuperación de cuenta, que se puede enviar vía SMS para que te llegue a teléfono móvil.

Figura 3: Visualización del código de recuperación con la pantalla bloqueada

Si tienes la previsualización de mensajes en el terminal y el atacante tiene alguna posibilidad de acceso físico, se podría ver el código en la ventana bloqueada y robar la cuenta, pero si no... se puede hacer uso de un ataque RTL-SDR

Capturar el mensaje SMS con RTL-SDR

El ataque RTL-SDR se basa en sintonizar una antena de comunicaciones en la banda GSM para capturar el tráfico que por ella circula y después descifrarlo con las rainbow tables que se publicaron para ello. Si el dueño de la identidad que se quiere robar tiene el teléfono encendido y está en la misma zona geográfica, solo sería necesario pedir el envío del código de recuperación de contraseña vía SMS y capturarlo tal y como se explica en este artículo.

Figura 4: Adaptando la señal para capturar canal GSM

A partir de este momento se podría cambiar la contraseña. Una vez cambiada la contraseña, si la persona tuviera puesto un OTP (One-Time Password) basado en SMS, entonces sería necesario seguir capturando los SMS hasta conseguir el OTP y acceder a la cuenta. Y fin.

Figura 5: SMS capturado con WireShark usando RTL-SDR

Este ataque NO se puede hacer en todas las estaciones base ni en todas las operadoras, ya que algunas están desplegando ya nuevos protocolos de cifrado A5/3, pero en las antiguas estaciones base sí, es conveniente poner sistemas Time-Based OTP, Latch o similares para evitar estos ataques. Si quieres saber más de estos ataques, te recomiendo el libro de Hacking de Comunicaciones Móviles.

Saludos Malignos!

4 comentarios:

  1. Esto tiene algo que ver con aquel fallo de las antenas GSM y su facilidad para crear una estación "pirata". No me sale el nombre ahora, aquel sistema al que el 3G no era vulnerable pero el GSM si, y si usabas un Nokia antiguo desaparecía el candado donde la cobertura?

    ResponderEliminar
  2. Es increíble, la forma en que se ingenian para decriptar la información. Me encanta este blog. Gracias por enseñarnos ciertas vulnerabilidades para ser cuidadoso.

    ResponderEliminar
  3. Precisamente la inseguridad de este artefacto se basa en que el A5/1, un cifrador de flujo más viejo que el toser, ya es practicable computacionalmente hablando. La gente de OsmoconBB ha creado una especie de tablas con todas las combinaciones ya generadas (dicho muy facilmente...), que se conocen como rainbow tables. Lo recibido por este canal "inseguro", se coteja en dichas tablas y se obtiene el contenido del texto en claro.

    ResponderEliminar
  4. el atacante tiene alguna posibilidad de acceso físico, se podría ver el código en la ventana bloqueada y robar la cuenta, pero si no... se puede hacer uso de un ataque RTL-SDR

    Según yo no veo en el primer caso el OTP no serviría de protección porque también accedería a la app OTP.

    El segundo ataque me parece demasiado sofiticado. Y de realizarse estaríamos hablando de individuos especialmente interesados en hacerse con tu cuenta.

    ResponderEliminar