Novo ataque Man-in-the-Middle chamado DoubleDirect Attack visando usuários de Android e iPhone

Table Of Contents

• Novo ataque Man-in-the-Middle chamado DoubleDirect Attack visando usuários de Android e iPhone
• DoubleDirect
• Como funciona o DoubleDirect
• Quem está em risco?

Novo ataque Man-in-the-Middle chamado DoubleDirect Attack visando usuários de Android e iPhone

Pesquisadores do Zimperium Mobile Security Labs descobriram que cibercriminosos estão usando um novo método de ataque Man-in-the-Middle para atingir usuários de smartphones Android e iPhone com bastante sucesso. Os pesquisadores do Zimperium nomearam esse novo ataque como DoubleDirect Attack.

DoubleDirect

A chamada técnica DoubleDirect permite que um atacante redirecione o tráfego de uma vítima para o dispositivo do atacante. Uma vez redirecionado, o atacante pode roubar credenciais e entregar cargas maliciosas ao dispositivo móvel da vítima que podem não apenas infectar rapidamente o dispositivo, mas também se espalhar por toda uma rede corporativa”, de acordo com a empresa de segurança móvel Zimperium.

Zimperium também detectou que a técnica DoubleDirect foi usada contra os clientes de sites de topo como Google, Facebook, Twitter, Hotmail, Live.com, Naver.com (coreano) e outros. Zimperium afirma que o método de ataque está sendo explorado amplamente em pelo menos 31 países ao redor do mundo, a saber, Sérvia • Austrália • Iraque • Cazaquistão • Polônia • Indonésia • Israel • Letônia • Finlândia • México • Egito • Reino Unido • Áustria • Colômbia • Grécia • Brasil • Canadá • França • Argélia • Federação Russa • Suíça • Itália • Alemanha • Espanha • Arábia Saudita • Países Baixos • Índia • Malta • Bahrein • Estados Unidos e China.

Pesquisadores do Zimperium afirmam que o principal motivo dos cibercriminosos que usam o ataque DoubleDirect é obter informações confidenciais das vítimas, IDs de e-mail e credenciais, informações bancárias e credenciais e outras senhas.

Como funciona o DoubleDirect

Atacantes que usam o método DoubleDirect utilizam pacotes ICMP Redirect (tipo 5) para modificar as tabelas de roteamento de um host. Este método é legitimamente usado por roteadores para notificar os hosts na rede que uma rota melhor está disponível para um determinado destino. No entanto, no caso do ataque DoubleDirect, o atacante usa pacotes ICMP Redirect para alterar as tabelas de roteamento no host da vítima, fazendo com que o tráfego flua por um caminho de rede arbitrário para um determinado IP. Como resultado, o atacante pode lançar um ataque MITM, redirecionando o tráfego da vítima para seu dispositivo. Uma vez redirecionado, o atacante pode comprometer o dispositivo móvel encadeando o ataque com uma vulnerabilidade adicional do lado do cliente (por exemplo: vulnerabilidade do navegador) e, por sua vez, fornecer ao atacante acesso à rede corporativa.

Pesquisadores do Zimperium descobriram que, no caso do ataque DoubleDirect, os hackers estão usando uma implementação previamente desconhecida para alcançar MITMs de duplex completo usando ICMP Redirect. Ataques tradicionais de ICMP Redirect têm limitações e são conhecidos por serem MITM de meio-duplex.

Os Zimperium Mobile Security Labs pesquisaram as ameaças e determinaram que os atacantes são capazes de prever os IPs acessados pela vítima. O Zimperium carregou um completo Proof of Concept para o DoubleDirect Attack que pode ser baixado aqui.

Quem está em risco?

iOS: Pesquisadores do Zimperium notaram que o ataque DoubleDirect funciona nas versões mais recentes do iOS, incluindo iOS 8.1.1, portanto, todos os iPhones são vulneráveis a este ataque.

Android: Pesquisadores do Zimperium afirmaram que o ataque DoubleDirect funcionou na maioria dos dispositivos Android, incluindo Nexus 5 com o mais recente Android OS 5.0 lollipop.

Mac OS X Yosemite: Pesquisadores do Zimperium dizem que usuários do Mac OS X Yosemite também são potencialmente vulneráveis, mas usuários do Windows e Linux parecem estar imunes, pois tanto o Windows OS quanto o Linux não aceitam pacotes de redirecionamento ICMP que carregam tráfego malicioso por padrão.

Nem o Google nem a Apple comentaram oficialmente sobre as descobertas dos pesquisadores do Zimperium até o momento.