QRLJacking o cómo saltarte un login basado en códigos QR

Muchas aplicaciones de escritorio como Line, WeChat, WhatsApp, etc. permiten a los usuarios autenticarse con el método seguro de Respuesta Rápida basado en código QR (SQRL o Secure Quick Response Login): la aplicación muestra un código QR al usuario que sólo tendrá que escanearlo con el teléfono móvil y podrá acceder rápidamente sin proporcionar una contraseña.

De hecho, este método se considera más seguro que el uso de contraseñas ya que es resistente a ataques de MiTM y fuerza bruta pero ,por desgracia, los hackers han encontrado una manera de comprometerlo con una técnica conocida como QRLJacking (también conocida como secuestro QR basado en sistema de acceso).

El egipcio Mohamed Abdelbasset Elnouby demostró cómo hackear las cuentas de los servicios que implementan el login con autenticación de código QR. El investigador publicó una prueba de concepto que demuestra la técnica QRLJacking, el atacante sólo tiene que convencer a la víctima para que lea sus códigos QR maliciosos.

La secuencia de ataque sería:

- El atacante inicia una sesión con QR y clona el código en una página de phishing.
- El atacante envía la página de phishing a la víctima.
- Si "pica", la víctima escanea el código QR con la aplicación móvil correspondiente.
- La aplicación móvil envía el token secreto para el servicio de destino para completar el proceso de autenticación.
- Como resultado, el atacante obtiene el control sobre la cuenta de la víctima.
- Luego el servicio inicia el intercambio de todos los datos de la víctima con la sesión del navegador del atacante.

Os dejo también el vídeo con la PoC:

"Lo que los atacantes necesitan hacer para llevar a cabo con éxito un ataque QRLJacking es escribir un script para clonar periódicamente los códigos QR expirables y refrescar los que aparezcan en la página web de phishing creada, porque como sabemos un proceso QR Login bien implementado debe tener una intervalo de caducidad para los códigos QR".

Fuentes:
- https://github.com/OWASP/QRLJacking/wiki
- https://www.owasp.org/index.php/QRLJacking
- http://thehackernews.com/2016/07/qrljacking-hacking-qr-code.html
- http://securityaffairs.co/wordpress/49800/hacking/qrljacking-attack.html

1 comentarios :

  1. Bueno, a ver, que tampoco han descubierto la pólvora...

    ResponderEliminar