Publicatie nieuwe kwetsbaarheden in mobiele apps en apparaten verwacht tijdens Hack in The Box

Amsterdam – 28 maart 2017: Mobiele apparaten zijn inmiddels onze primaire tool om privé en zakelijk te communiceren. Tech-bedrijven zijn voortdurend bezig om hun mobiele toepassingen verder te ontwikkelen. Veiligheid en privacy spelen in deze race om innovatie nog vaak een ondergeschikte rol. In goede trouw nemen gebruikers aan dat de onderliggende hardware en software, mobiele antivirus, password managers en encryptie-technologie hen zal beschermen tegen kwaadaardige aanvallen op hun communicatie. Onderzoek gepresenteerd op de HITB Security Conferentie in Amsterdam laat echter zien dat mobile security een hobbelig proces is en blijft.

Om mobiele communicatie goed te beveiligen zijn meerdere beveiligingslagen nodig, waaronder veilige mobiele netwerkapparatuur. In Femtocell Hacking: From Zero to Zero Day, neemt de Koreaanse security-onderzoeker Jeonghoon Shin de populaire Femtocells onder de loep. Femtocells zijn kleine, low-power cellulaire basisstations voor thuisgebruik en worden wereldwijd door providers aangeboden om het bereik bij klanten thuis te verbeteren. Jeonghoon Shin laat zien hoe de veiligheid van deze apparaten getest kan worden en hoe SMS, telefoongesprekken en belgegevens die via een Femtocell verstuurd of ontvangen worden te onderscheppen zijn.

Veel security professionals beschouwen Signal als de meest betrouwbare en veilige messaging applicatie. Ook nadat ‘Vault 7’ werd uitgebracht kon Moxie Marlinspike, van Signal, bevestigen dat de technologie werkt zoals bedoeld en dat de gebruikte encryptie niet is gebroken. Markus Vervier, een security-onderzoeker uit Duitsland, zal op de tweede dag van de conferentie dieper ingaan op veiligheidsonderzoek naar Signal tijdens zijn presentatie Hunting For Vulnerabilities in Signal. Markus geeft uitleg over de algemene architectuur van Signal, mogelijke aanvalsvectoren en instrumenten om deze te analyseren. Hiernaast zal Markus ook demonstreren hoe hij kwetsbaarheden in de Signal Android-client heeft gevonden. Hij gebruikte een kwetsbaarheid in de onderliggende Java libsignal library om Signal vanaf afstand te laten crashen. Vervolgens kon hij de MAC-authenticatie voor bepaalde bestanden omzeilen en zogenaamde memory corruption bugs veroorzaken.

Als het gaat om wachtwoorden adviseren security experts voor elk account een uniek en zo complex mogelijk wachtwoord. Het menselijk brein kan echter maar een beperkt aantal complexe wachtwoorden onthouden, waardoor het gebruik van password manager applicaties toeneemt. Een team van security onderzoekers van het Fraunhofer Institute for Secure Information Technology heeft onderzoek gedaan naar 15 van de meest populaire Android password manager applicaties. In hun talk Extracting All Your Secrets: Vulnerabilities in Android Password Managers, presenteren Stephan Huber, Steven Arzt en Siegfried Rasthofer de onthutsende resultaten van hun onderzoek, waaronder meerdere kwetsbaarheden die hen in staat stellen om onbevoegde toegang tot de applicatie te krijgen en gevoelige informatie te achterhalen, waaronder de heilige graal: het hoofdwachtwoord dat de beveiligde kluis met inlog-gegevens en wachtwoorden beschermt.

Kwetsbaarheden in hardware zijn zeldzamer dan in software en moeilijker te op te lossen. Een van de ernstigste hardware bugs van de afgelopen jaren is Rowhammer. Victor van der Veen, promovendus in de VUSec groep aan de Vrije Universiteit Amsterdam, deed onderzoek naar deze kwetsbaarheid en trok met de publicatie van Drammer in oktober 2016 internationaal veel aandacht. Drammer is een aanval die gebruik maakt van Rowhammer in combinatie met de Flip Feng Shui (FFS) exploitatie methode. Het lukte de onderzoekers om data in het geheugen te manipuleren. Sterker nog, Drammer resulteerde  in de eerste Android root exploitatie die zonder enkele gebruikersrechten of software bugs uitgevoerd kan worden. In zijn presentatie Drammer: The Making-Of, vertelt Victor over Drammer vanuit het perspectief van een hacker en deelt verhalen over vallen en opstaan in de aanloop naar de succesvol geflipte bits.