Jälleen 2FA murrettiin ja PayPal tilit tyhjennettiin


Kuinka tärkeää onkaan, että Androidiin ei ladata mitään hauskoja tai äkkisistään jopa hyödylliseltä kuulostavia sovelluksia. Nyt kerron, mitä mobiililaitteeseen ladattu ”akunsäästäjä” hiljakkoin teki.

Puhelimen omistajan PayPal-tilin kanssa tositoimiin ryhtynyt ”akunsäästäjä” pääsi saldoon käsiksi ohittaen jopa tilin kaksivaiheisen tunnistuksen 2FA (two-factor authentication). Akunsäästösovellus ei säästellyt ainakaan tilitä löytyviä dollareita. Älykäs murtokoodi tyhjensi suojauksista piittaamatta heti kättelyssä uhrin PayPal-maksupalvelun tililtä tuhat dollaria. Koodi tosiasiassa toimii syvällä mobiilikäyttöjärjestelmässä.

Omalla näppäryydellään tunkeutuja pääsee käyttämään Androidin esteettömyystoimintoja, ja ottaa käyttöjärjestelmän sisäisen statistiikan käyttöön. Tämä on selvä bugi. Käyttäjälle välittyy oudohko pyyntö, joka helposti hyväksytään. Statistiikan haltuunoton avulla tosiasiassa murretaan 2FA.

Botin kehote avaa PayPal-sovelluksen. Kun käyttäjä taas kirjautuu PayPaliin sisään, botti tallentaa haltuunsa ottaman statistiikan kautta salasanan ja tämän jälkeen on vuorossa kaksivaiheisen tunnistuksen koodi, jonka käyttäjä saa tekstarina. Tili tyhjennetään tuhannen dollarin kertaerissä. Lähteiden kuten muun muassa 9to5Google mukaan koko operaatio tapahtuu alle viidessä sekunnissa.

Sama peli jatkuu heti, kun PayPal avataan uudestaan niin kauan, kun tilillä on mitä ottaa. Mahdollisesti vielä senkin jälkeen jos tiliin linkitetty luotollinen maksukortti, varoittavat koodia tutkineet lähteet.

Sovelluskaupoissa jopa Googlen virallisessa Play-kaupassa on tarjolla vaarallisia ohjelmia, joista on puhuttu jo aiemmin. Tosin mitään tällaista ei taas kerran osattu edes kuvitella. Haavoittuvuus kaksivaiheisessa tunnistuksessa on paha bugi. Se kertoo vastapelurin valmiuksista mitätöidä kaikki turvaratkaisut ja kulkea ikään kuin askeleen edellä.

Toisaalta tietoturva-asiantuntijat, vieläpä suomalaiset ovat nostaneet esille 2FA:n useita puutteita. Mutta asiantuntijoiden ääni on kaikunut puolikuuroille korville.

Onko meillä softa- ja laitevalmistajilla varaa noin falskiin tietoturvaan? Botti tulee härpäkkeen (oli se sitten taskulamppu tai akunsäästäjä) mukana ja ottaa käyttöjärjestelmän ydinosasia haltuunsa tehden pian mitä mielikuvituksellisimpia kyberrikoksia. Vieläkään kaikilla kännykkävalmistajilla ei ole edes oma tietoturvaosastoa. Pitkälle automatisoitujen kulkupelien valmistajista taas vain muutama suuri on varustautunut kunnolla tietoturva-asioissa.

Olisi aika satsata.



Reijo Holopainen

VIIMEISIN ARTIKKELI

Asiakastarina: Lemmikkihoitola Moppe ja Miiru Oy

29.01.2025 |

”Lemmikit ovat ihmisen parhaita ystäviä ja perheenjäseniä.Tiedämme miten tärkeitä tunnesiteitä lemmikin ja omistajan välille syntyy.” … LUE LISÄÄ…

Miksi sähköposti ei lähde – Yleisimmät ongelmat ja SMTP-asetukset

17.01.2025 |

Sähköposti on olennainen osa yritysviestintää. Jos sähköpostit eivät lähde omalta koneelta, on tilanne usein hyvin … LUE LISÄÄ…

Katsaus Sollertiksen vuoteen 2024

10.01.2025 |

Vuosi on vaihtunut ja kaikki ovat palanneet työn ääreen. Halusin tehdä pienen katsauksen vuoteen 2024 … LUE LISÄÄ…

Hakukoneoptimointi – avain asiakkaiden löytämiseen digitaalisessa ostopolussa

03.01.2025 |

Tiesitkö, että tutkimuksien mukaan asiakkaan digitaalinen ostopolku alkaa useimmiten Googlettamalla? Kyllähän sinä sen varmasti tiesit, … LUE LISÄÄ…

Olemme ulkoistaneet laskutuksemme

27.11.2024 |

Olemme ulkoistaneet laskutuksen hoitamisen BRANG Oy:lle 02.12.2024 alkaen. Huomioithan, että laskulla oleva tilinumero on muuttunut ja suoritukset tulee … LUE LISÄÄ…

3 tapaa tehostaa sesongin markkinointia

22.11.2024 |

Tärkeimpiin sesonkeihin on hyvä valmistautua hyvissä ajoin. Ensimmäinen askel on päivittää markkinoinnin vuosikello. Merkitse vuosikelloon … LUE LISÄÄ…

Woocommerce ohje: Arvonlisäveron asettaminen tai muuttaminen

22.08.2024 |

Alv-prosentin muuttuessa tulee verokanta päivittää verkkokauppoihin. Tässä ohjeessa neuvon askel askeleelta, kuinka asetat tai vaihdat … LUE LISÄÄ…

WordPress-ohje: Opas verkkosivuston päivittämiseen ja hallintaan

23.07.2024 |

WordPress on helppokäyttöinen, monipuolinen ja tehokas julkaisujärjestelmä, joka tarjoaa kaiken tarvitsemasi verkkosivustosi luomiseen, hallintaan ja päivittämiseen. Toteutamme Sollertiksella … LUE LISÄÄ…