Video: Троян.Win32.Alerta (Noiembrie 2024)
Unul dintre cele mai bune lucruri despre sistemele de operare mobile este sandboxing-ul. Această tehnică compartimentează aplicațiile, împiedicând aplicațiile riscante (sau orice altă aplicație) să aibă frâu gratuit pe Android. Dar o nouă vulnerabilitate ar putea însemna că sandbox-ul pentru Android nu este atât de puternic cum am crezut noi.
Ce este?
La Black Hat, Jeff Forristal a demonstrat cum un defect în modul în care Android se ocupă cu certificatele ar putea fi folosit pentru a scăpa de pe sandbox. Ar putea fi folosit chiar pentru a oferi aplicațiilor dăunătoare niveluri de privilegii mai mari, fără a oferi victimelor un indiciu despre ceea ce se întâmplă în telefonul lor. Forristal a spus că această vulnerabilitate poate fi folosită pentru a fura date, parole și chiar pentru a prelua controlul complet asupra mai multor aplicații.
La baza emiterii se află certificatele, care sunt practic documente criptografice puține, menite să asigure că o aplicație este ceea ce pretinde a fi. Forristal a explicat că este exact aceeași tehnologie folosită de site-urile web pentru a asigura autenticitatea. Dar, se pare că Android, nu examinează relațiile criptografice dintre certificate. Acest defect, a spus Forristal, este „destul de fundamental pentru sistemul de securitate Android”.
Ce face
În demonstrația sa, Forristal a folosit o actualizare falsă a serviciilor Google care conținea codul rău intenționat folosind una dintre vulnerabilitățile Fake ID. Aplicația a fost livrată împreună cu un e-mail de inginerie socială în care atacatorul prezintă ca parte a departamentului IT al victimei. Când victima merge să instaleze aplicația, vede că aplicația nu necesită nicio permisiune și pare legitimă. Android realizează instalarea și totul pare să fie bine.
Dar în fundal, aplicația Forristal a folosit o vulnerabilitate Fake ID pentru a injecta automat coduri rău intenționate în alte aplicații de pe dispozitiv. Mai exact, un certificat Adobe pentru actualizarea Flash ale cărui informații au fost înregistrate în Android. În câteva secunde, el avea controlul a cinci aplicații de pe dispozitiv - unele dintre ele având acces profund la dispozitivul victimei.
Nu este prima dată când Forristal a pus mesaje cu Android. În 2013, Forristal a pornit comunitatea Android atunci când a dezvăluit așa-numita exploatare a cheii Master. Această vulnerabilitate răspândită a însemnat că aplicațiile false pot fi deghizate în legitime, ceea ce ar putea oferi aplicațiilor rău intenționate o trecere gratuită.
Verificați ID-ul
Prsentarea Forristal nu ne-a oferit doar știrile despre deschiderea ochilor despre Android, ci ne-a oferit și un instrument pentru a proteja oursevles. Forristal a lansat un instrument de scanare gratuit pentru a detecta această vulnerabilitate. Desigur, asta înseamnă că oamenii vor trebui să împiedice malware-ul să intre pe telefoane.
Bugul a fost, de asemenea, raportat la Google, iar patch-urile apar la diferite niveluri.
Mai important, întregul atac se leagă victimei instalând aplicația. Adevărat, nu are steagul roșu de a cere o mulțime de permisiuni, însă Forristal a spus că dacă utilizatorii evită aplicațiile din „locuri umbrite” (citiți: în afara Google Play) vor fi în siguranță. Cel putin pentru moment.