Videó: Hogyan csinálj "vírust" - Felugró ablak (November 2024)
A mobil operációs rendszerek egyik legjobb dolga a homokozó. Ez a technika elválasztja az alkalmazásokat, megakadályozva, hogy a kockázatos alkalmazások (vagy bármely alkalmazás) ingyenesen megfoszthassák az Android-ot. De egy új sebezhetőség azt jelentheti, hogy az Android homokozója nem olyan erős, mint gondoltuk.
Mi az?
A Black Hat alkalmával Jeff Forristal bebizonyította, hogy az Android tanúsítványok kezelésével kapcsolatos hibája hogyan használható fel a homokozó elhagyására. Ezt akár arra is felhasználhatják, hogy a rosszindulatú alkalmazások számára magasabb szintű privilégiumokat biztosítsanak, anélkül, hogy az áldozatok számára tudomást szereznének arról, mi zajlik a telefonjukban. A Forristal elmondta, hogy ezt a sebezhetőséget felhasználhatják adatok, jelszavak ellopására és akár több alkalmazás teljes irányítására.
A kiadás középpontjában a tanúsítványok állnak, amelyek alapvetően kevés kriptográfiai dokumentumok, amelyek célja annak biztosítása, hogy egy alkalmazás az, amit állít. A Forristal kifejtette, hogy pontosan ugyanazt a technológiát használja a weboldalak, amelyek garantálják az eredetiséget. De kiderül, hogy az Android nem vizsgálja a tanúsítványok közötti kriptográfiai összefüggéseket. Ez a hiba, mondta a Forristal, "elég alapvető fontosságú az Android biztonsági rendszerében".
Mit csinál
A demonstráció során a Forristal hamis Google Services-frissítést használt, amely rosszindulatú kódot tartalmazott a hamis azonosító egyik sebezhetőségének segítségével. Az alkalmazást egy szociális mérnöki e-maillel együtt kézbesítettük, ahol a támadó az áldozat informatikai osztályának részeként jelent meg. Amikor az áldozat elindítja az alkalmazás telepítését, látja, hogy az alkalmazás nem igényel engedélyeket, és jogszerűnek tűnik. Az Android elvégzi a telepítést, és úgy tűnik, hogy minden rendben van.
A háttérben azonban a Forristal alkalmazás hamis azonosító biztonsági rést használt fel, hogy automatikusan és azonnal fecskendezze a rosszindulatú kódot az eszköz más alkalmazásaiba. Pontosabban, egy Adobe tanúsítvány a Flash frissítéséhez, amelynek adatait keményen kódolták az Androidra. Néhány másodpercen belül öt alkalmazást irányított a készüléken - ezek közül néhány mély hozzáférést kapott az áldozat eszközéhez.
Ez nem az első alkalom, hogy a Forristal összezavarodott az Android-szal. 2013-ban a Forristal megrázta az Android közösséget, amikor bemutatta az úgynevezett Master Key exploitot. Ez a széles körben elterjedt sebezhetőség azt jelentette, hogy a hamis alkalmazásokat legitimké álcázhatták, és ezáltal a rosszindulatú alkalmazások számára ingyenes hozzáférést biztosíthattak.
Ellenőrizze az azonosítót
A Forristal jelenléte nemcsak szem előtt tartó híreket adott nekünk az Androidról, hanem azt is adott nekünk, hogy megvédjük aevőket. A Forristal kiadott egy ingyenes szkennelő eszközt a biztonsági rés felismerésére. Ez természetesen azt is jelenti, hogy az embereknek meg kell akadályozniuk, hogy a rosszindulatú programok bekerüljenek a telefonjukra.
A hibáról a Google-nak is beszámoltak, és a javítások nyilvánvalóan különböző szinteken jelennek meg.
Ennél is fontosabb, hogy a teljes támadás az alkalmazást telepítő áldozaton múlik. Igaz, hogy nem rendelkezik a piros zászlóval, hogy sok engedélyt kérjen, de a Forristal azt mondta, hogy ha a felhasználók elkerülik az "árnyas helyekről" származó alkalmazásokat (olvassuk el: a Google Playen kívül), akkor biztonságban lesznek. Legalább most.
