PosterPDF Available

Análise de Segurança em Aplicativos Bancários na Plataforma Android

Authors:
Rafael J Cruz
Rafael J Cruz
Rafael J Cruz
  • This person is not on ResearchGate, or hasn't claimed this research yet.
Diego F. Aranha at Aarhus University
Diego F. Aranha
Download file PDF
Read file
Download citation

Abstract

O projeto realiza análise de segurança em aplicativos bancários na plataforma Android. A análise de segurança abrange alguns aspectos do aplicativo móvel, a configuração do servidor e a conexão entre aplicativo e servidor. Os bancos analisados foram Banco do Brasil, Bradesco, Caixa Econômica Federal, Citibank, HSBC, Itaú e Santander. Os resultados foram interessantes, pois na maioria dos aplicativos, foi possível personificar o banco para os clientes e obter informações sigilosas, como usuário, senha, saldo, cartão de crédito, entre outros.
Content uploaded by Diego F. Aranha
Author content
All content in this area was uploaded by Diego F. Aranha on Dec 15, 2017
Content may be subject to copyright.
Análise de Segurança em Aplicativos Bancários na Plataforma Android
Diego F. Aranha (PQ), Rafael J. Cruz (IC)
Resumo
O projeto realiza análise de segurança em aplicativos bancários na plataforma Android. A análise de segurança
abrange alguns aspectos do aplicativo móvel, a configuração do servidor e a conexão entre aplicativo e servidor.
Os bancos analisados foram Banco do Brasil, Bradesco, Caixa Econômica Federal, Citibank, HSBC, Itaú e
Santander. Os resultados foram interessantes, pois na maioria dos aplicativos, foi possível personificar o banco
para os clientes e obter informações sigilosas, como usuário, senha, saldo, cartão de crédito, entre outros.
Palavras Chave: SSL/TLS, Homem-no-meio, Certificado.
Introdução
Os bancos – aplicações críticas – devem man-
ter boas práticas de segurança. Segundo a
FEBRABAN
1
, cerca de 24% (25 milhões) de contas
utilizam Mobile Banking. Quase metade das con-
tas correntes utilizam o Internet Banking e uma em
cada quatro contas utiliza o Mobile Banking, que
teve um crescimento de 127% de 2013 para 2014 e
já representa 12% do número total de transações.
BANCO
Login:
Senha:
Servidor
Cliente
Atacar!!!
Atacante
Rede Local
x
1
2
6
5
3
4
Quem é o servidor? EU!!!
Sou um cliente,
posso conectar?
Tudo bem.
Figura 1.
Ataque Man In The Middle dentro de uma
rede local.
Os protocolos SSL/TLS
2
foram concebidos com
objetivo de fornecer propriedades muito poderosas
como: confidencialidade, integridade, disponibili-
dade, autenticidade e irretratabilidade.
O ataque Homem No Meio, do inglês Man In
The Middle (MITM), é uma forma de ataque em
que os dados trocados entre duas partes são in-
terceptados, registrados e possivelmente alterados
sem que as vítimas percebam. Neste trabalho, o
ataque é feito dentro da mesma rede local, que
encontra-se o cliente. Para controlar o cliente basta
que o atacante seja o administrador da rede ou
forjar a resolução ARP (como na Figura 1).
Resultados
Na Tabela 1 temos os resultados dos servidores
analisados e na Tabela 2 o resultado da análise dos
clientes (aplicativos Android).
Tabela 1.
Resultado do SSLlabs sobre servidores
examinados. As notas variam de F a A+.
Banco do
Brasil Bradesco
Caixa
Econômica
Federal
Citibank HSBC Itaú Santander
Emprega TLS 1.2 8 8 484 4 8
Emprega TLS 1.1 8 8 8 8 4 4 8
Emprega TLS 1.0 4 4 4 4 4 4 4
Suporta SSL 3.0 4 4 4 84 4 4
Suporta SSL 2.0 848 8 8 8 8
Suporta RC4 4 4 4 8 8 4 4
Suporta MD5 4 4 8 8 8 8 8
Suporta SHA-1 4 4 4 4 4 4 4
Suporta Segredo Futuro 8 8 8 8 8 8 8
Suporta OCSP 8 8 8 8 48 8
Suporta HPKP 8 8 8 8 8 8 8
Diffie-Hellman Inseguro 48 8 8 8 8 8
Vulnerável a Deterioração 4 4 8 8 4 4 4
Vulnerável ao POODLE 484 4 4 4 8
Vulnerável ao DoS 8 8 4 4 8 8 8
Vulnerável ao FREAK 4 4 8 8 8 8 8
Nota F F, F C C C,A-, A- F C
Tabela 2.
Resultado dos aplicativos Android anal-
isados. As notas variam de 0 a 5 estrelas.
Banco do
Brasil Bradesco
Caixa
Econômica
Federal
Citibank HSBC Itaú Santander
Vazamento de credenciais 84 4 4 84 4
MITM 8 8 8 8 8 8 4
MITM com certificado raiz 84 4 4 4 4 4
Redes sociais externas 8484848
Ausência de pinagem 84 4 4 4 4 4
Nota
Conclusões
A segurança de aplicações bancárias pode ser
aprimorada de duas formas. Aplicações do lado
do cliente precisam avaliar cuidadosamente chaves
públicas do servidor enviadas no início da conexão.
Durante a validação feita pelo cliente, deve-se tam-
bém checar CRL, OCSP e pinagem de certificado.
Servidores também devem aumentar o nível
de segurança. Este objetivo pode ser alcançado
abandonando algoritmos e protocolos criptográficos
obsoletos, além de implementar novas medidas de
seguranças (Segredo Futuro, por exemplo).
Agradecimentos
Agradecemos aos bancos pela iniciativa de mel-
hora da segurança dos seus sistemas e agradece-
mos ao SAE da Unicamp por fomentar a pesquisa.
———————————–
1Federação Brasileira de Bancos. Pesquisa FEBRABAN de
Tecnologia Bancária 2014. 2014.
2Holly Lynne McKinley. SSL and TLS: A Beginners Guide.
2003.
... Since the apps block HTTP connection attempts, the second most popular attack strategy for eavesdropping communication channels is to deploy a rogue secure server and interpose it to apps connections, which is known as a Man-In-The-Middle (MITM) attack. Secure apps are supposed to recognize and communicate only with legitimate servers, identified using certificates, but previous research work have already demonstrated that many developers fail to implement this mechanism [8]. To evaluate that in practice, we deployed a MITM attack via our Internet gateway and installed our rogue certificate in the smartphone prior to attempting to login into the bank accounts using all applications. ...
... We presented a combined approach that associates social and technical aspects of Brazilian mobile banking apps. Therefore, we did not limit ourselves to observe technical aspects, such as a previous study on the use of certificates by Brazilian apps [8]. The Brazilian scenario of fully and widespread banking automation offers attackers several opportunities to leverage varied strategies against bank customers. ...
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online Banking Protection Mechanisms based on a Brazilian case study
Conference Paper
  • Aug 2019
Internet Banking have become the primary way of accessing banking services for most customers, but its security is still a constant concern, since million dollars are still lost every year due to frauds. Over time, banks and customers overcome the initial technology distrust and learned how to secure their operations. However, there are still many lessons to learn, mainly when looking to the upcoming technological developments. To understand the lessons learned over time and also to help shedding light on possible future developments, we review the past and the present of internet banking implementations in Brazil, a country widely adopting this type of service and an early adopter of new banking technologies, thus targeted by many threats. We show how Internet banking evolved from desktop software to mobile apps and how attackers also evolved from phishing mails to complete phishing applications to target Brazilian users. We also performed a detailed security analysis of Brazilian banking apps available in the Android app store and identified that developers still fail to follow secure development practices, thus causing banking apps to leak user's sensitive data. Moreover, we also looked to the future to present new attacks which can threat users in a short-term. In particular, we demonstrate an attack against a Whatsapp-based transaction mechanism implemented by some Brazilian banks
View
... [Elkhodr et al. 2012] propuseram a utilização do Transport Layer Security (TLS), para garantir a privacidade e integridade na transmissão de dados entre aplicações m-banking em dispositivos móveis e instituições financeiras, complementando assim o controle de acesso por identidade tradicionalmente utilizado. [Cruz and Aranha 2015] analisaram a configuração e troca de informações entre servidores e aplicativos de m-banking de sete bancos que atuam no mercado brasileiro. O estudo realizado por eles mostrou queé possível obter informações financeiras e credenciais de acesso por meio de um ataque de personificação ou através de falhas na configuração dos servidores. ...
Um Panorama da Realidade da Rede 4G no Brasil
Conference Paper
Full-text available
  • Sep 2016
A motivação inicial para o desenvolvimento deste trabalho foi a constatação de que poucas pessoas compreendem as tecnologias móveis em redes Wireless Wide Area Network, a WWan é, conforme aponta Boyd (2011) em tradução livre, uma rede de longa distância que não faz o uso de fios e dá acesso a internet em uma grande área geográfica, como um país ou um continente. São exemplos de WWAN as redes 3G e 4G. O objetivo geral deste trabalho consiste no esclarecimento do que é a rede 4G e como a sua implementação vem ocorrendo no Brasil. Também pretende-se fazer uma breve descrição de tecnologias anteriores à 4G para entender a evolução dos padrões da tecnologia móvel.
View
ResearchGate has not been able to resolve any references for this publication.