Jälleen 2FA murrettiin ja PayPal tilit tyhjennettiin

Kuinka tärkeää onkaan, että Androidiin ei ladata mitään hauskoja tai äkkisistään jopa hyödylliseltä kuulostavia sovelluksia. Nyt kerron, mitä mobiililaitteeseen ladattu ”akunsäästäjä” hiljakkoin teki.
Puhelimen omistajan PayPal-tilin kanssa tositoimiin ryhtynyt ”akunsäästäjä” pääsi saldoon käsiksi ohittaen jopa tilin kaksivaiheisen tunnistuksen 2FA (two-factor authentication). Akunsäästösovellus ei säästellyt ainakaan tilitä löytyviä dollareita. Älykäs murtokoodi tyhjensi suojauksista piittaamatta heti kättelyssä uhrin PayPal-maksupalvelun tililtä tuhat dollaria. Koodi tosiasiassa toimii syvällä mobiilikäyttöjärjestelmässä.
Omalla näppäryydellään tunkeutuja pääsee käyttämään Androidin esteettömyystoimintoja, ja ottaa käyttöjärjestelmän sisäisen statistiikan käyttöön. Tämä on selvä bugi. Käyttäjälle välittyy oudohko pyyntö, joka helposti hyväksytään. Statistiikan haltuunoton avulla tosiasiassa murretaan 2FA.
Botin kehote avaa PayPal-sovelluksen. Kun käyttäjä taas kirjautuu PayPaliin sisään, botti tallentaa haltuunsa ottaman statistiikan kautta salasanan ja tämän jälkeen on vuorossa kaksivaiheisen tunnistuksen koodi, jonka käyttäjä saa tekstarina. Tili tyhjennetään tuhannen dollarin kertaerissä. Lähteiden kuten muun muassa 9to5Google mukaan koko operaatio tapahtuu alle viidessä sekunnissa.
Sama peli jatkuu heti, kun PayPal avataan uudestaan niin kauan, kun tilillä on mitä ottaa. Mahdollisesti vielä senkin jälkeen jos tiliin linkitetty luotollinen maksukortti, varoittavat koodia tutkineet lähteet.
Sovelluskaupoissa jopa Googlen virallisessa Play-kaupassa on tarjolla vaarallisia ohjelmia, joista on puhuttu jo aiemmin. Tosin mitään tällaista ei taas kerran osattu edes kuvitella. Haavoittuvuus kaksivaiheisessa tunnistuksessa on paha bugi. Se kertoo vastapelurin valmiuksista mitätöidä kaikki turvaratkaisut ja kulkea ikään kuin askeleen edellä.
Toisaalta tietoturva-asiantuntijat, vieläpä suomalaiset ovat nostaneet esille 2FA:n useita puutteita. Mutta asiantuntijoiden ääni on kaikunut puolikuuroille korville.
Onko meillä softa- ja laitevalmistajilla varaa noin falskiin tietoturvaan? Botti tulee härpäkkeen (oli se sitten taskulamppu tai akunsäästäjä) mukana ja ottaa käyttöjärjestelmän ydinosasia haltuunsa tehden pian mitä mielikuvituksellisimpia kyberrikoksia. Vieläkään kaikilla kännykkävalmistajilla ei ole edes oma tietoturvaosastoa. Pitkälle automatisoitujen kulkupelien valmistajista taas vain muutama suuri on varustautunut kunnolla tietoturva-asioissa.
Olisi aika satsata.
