Online auth hard nodig
We hebben dringend een alternatief nodig voor de zeer fraudegevoelige online “authenticatie”-methodes zoals het verstrekken van niet geheime persoonsgegevens en/of het opsturen van een paspoortscan.
Regen => drup?
Maar ik vraag me sterk af of we met universele authenticatie-apps op smartphones niet van de regen in de drup geraken. Immers, de smartphone wordt interessanter voor fysieke dieven en malwaremakers, niet iedereen heeft een smartphone en vooral niet iedereen heeft een recente en enigszins veilige smartphone.
Insecure enclaves
En zelfs bij recente smartphones blijken keer op keer de “trusted environments” waarin de noodzakelijke private key(s) wordt of worden opgeslagen, niet trustworthy.
Cloud to the rescue (of the cybercriminal?)
Bovendien is een back-up van die private key(s) noodzakelijk voor het geval dat jouw smartphone in de plee valt (en minder waterdicht blijkt dan verwacht), je deze ergens laat liggen en/of gestolen wordt, kapot gaat of gewoon vanwege ouderdom vervangen wordt. Dus worden jouw private keys (meestal versleuteld) in de whatever-cloud (iCloud, Google account, Microsoft account of mogelijk andere) opgeslagen. Als je op jouw nieuwe toestel (of een extra tweede apparaat zoals een tablet) inlogt en jouw whatever-cloud wachtwoord invoert, worden die private keys (en andere “secrets” zoals wachtwoorden en TOTP-shared-secrets) gesynchroniseerd naar dat apparaat. Da’s handig.
Maar dit betekent ook dat als een cybercrimineel met jouw inloggegegevens inlogt op jouw whatever-cloud-account, hij of zij diezelfde private keys (en andere “secrets”) naar haar of zijn apparaat kan synchroniseren.
Schitzofoon
Niet op de laatste plaats hoeft malware op een smartphone jouw private keys niet te kunnen kopiejatten om zich naar online diensten voor te doen als jou (mogelijk dat een app daar bepaalde privileges voor nodig heeft, maar in de praktijk haalt niemand die weg als je maar hard genoeg dreigt dat een app anders niet werkt). En dat apps vanuit de Google Play Store en Apple’s App Store geen malware kunnen bevatten, is sowieso een hoax.
Enkele van vele relevante nieuwsberichten (exclusief Windows en PC’s/notebooks)
– 15 augustus 2022: https://www.security.nl/posting/764662/Encryptiesleutels+Google+Pixel-telefoons+via+lek+in+beveiligingschip+te+stelen
– 12 augustus 2022: https://www.bleepingcomputer.com/news/security/xiaomi-phones-with-mediatek-chips-vulnerable-to-forged-payments/
– 11 augustus 2022: Netwerk Cisco ernstig gehacked doordat aanvaller toegang kreeg tot Google cloud account van medewerker die wachtwoorden op werk in browser opsloeg, welke via dat cloud-account met “thuis” én de aanvaller werden gesynchroniseerd: https://www.security.nl/posting/764317/Cisco+eerder+dit+jaar+getroffen+door+aanval+van+ransomwaregroep
– 14 december 2021: https://www.security.nl/posting/734129/Apple+verhelpt+remote+jailbreaks+en+wachtwoordlek+in+iOS+15
– 16 mei 2022: Als je de iPhone 11 en later “uitzet” blijven Bluetooth, NFC, UWB én de “Secure Enclave Processor” (die in verbinding staat met de draadloze zend/ontvangers) gewoon werken, terwijl “the Bluetooth firmware is neither signed nor encrypted”: https://thehackernews.com/2022/05/researchers-find-way-to-run-malware-on.html
– 6 oktober 2020: https://www.wired.com/story/apple-t2-chip-unfixable-flaw-jailbreak-mac/
– 18 juli 2022: “If the potential victim uses iOS, they are redirected to a phishing page for Apple credentials”: https://www.bleepingcomputer.com/news/security/roaming-mantis-hits-android-and-ios-users-in-malware-phishing-attacks/
– 17 juli 2022: Toegang iCloud accounts niet beperkt tot foto’s: https://www.security.nl/posting/757406/Negen+jaar+cel+voor+man+die+naaktfoto%27s+uit+honderden+iCloud-accounts+stal
– 24 juli 2022: https://privacyis1st.medium.com/abuse-of-the-mac-appstore-investigation-6151114bb10e
– 10 mei 2021: iOS XcodeGhost: “Apple was indeed considering contacting the 128 million users to notify them about the malware, but felt that this was difficult to do”: https://www.intego.com/mac-security-blog/xcodeghost-malware-infected-100-million-ios-users-and-apple-said-nothing/
– 17 augustus 2022: “over two million downloads”: https://www.bitdefender.com/blog/labs/real-time-behavior-based-detection-on-android-reveal-dozens-of-malicious-apps-on-google-play-store/
PassKeys
Dezelfde risico’s gelden overigens voor PassKeys – concentraties van authenticatiegegevens die veelzijdige identiteitsfraude mogelijk maken in (vooral draagbare) apparaten met synchronisatie van/naar meestal dramatisch slecht beveiligde cloud-accounts – want “ik heb niks te verbergen”.
Conclusie
Wat zou er in vredesnaam mis kunnen gaan met een wallet-app voor een Europese digitale identiteit?
Bron: Security.nl