Neįtariantys „Android“ vartotojai galėjo rasti kenkėjiškų programų, apvyniotų vaizdo failais

[ware_item id=33][/ware_item]

Neįtariantys „Android“ vartotojai galėjo rasti kenkėjiškų programų, apvyniotų vaizdo failais


Tyrėjai atrado naują metodą, kuris gali leisti kenksmingas programas pristatyti nieko neįtariantiems „Android“ vartotojams per vaizdo failus.

„Fortinet“ kenkėjiškų programų tyrėjas Axelle Apvrille ir „Corkami“ inžinierius Angelas Albertini sugalvojo koncepcijos įrodymo (POC) išpuolį ir pademonstravo jį praėjusios savaitės Amsterdame vykusioje „Black Hat Europe“ konferencijoje.

Naudodamiesi „Albertini“ sukurtu pasirinktiniu įrankiu, pasivadinusiu „AngeCryption“, pora sugebėjo užšifruoti naudingos apkrovos „Android“ programų paketą (APK) ir padaryti jį panašų į vaizdo failą (jie naudojo PNG, tačiau kiti vaizdo failų formatai veikia taip pat gerai)..

Tada jie sukūrė antrą APK, kuriame buvo „įstrigęs“ vaizdas. Šis antrasis APK buvo ne tik apvyniotas ir paslėptas pirmasis, jis taip pat turėjo galimybę iššifruoti ir įdiegti.

Straipsnyje, lydinčiame „Juodosios skrybėlės“ pokalbį, tyrėjai rašė, kad „bet kokį įvestį galima užšifruoti į pasirinktą JPG arba PNG atvaizdą ... kodas gali paversti šį neįtariamą vaizdą į kitą APK, nešdamas kenksmingą naudą“. sakydamas, kad „statiška apvyniojančio APK analizė, tokia kaip išmontavimas, nieko neatspindi tame baite (išskyrus tuos atvejus, kai atšaukiame šifravimo paketą“).

Tokiu būdu apgaudinėdamas „Android“ programų apvyniojimo sistemą duetas sugebėjo sukurti paketą, kuris greičiausiai išvengs aptikimo ir pateks į „Google Play“ grotuvą, taip pat saugos programas.

Apvrille ir Albertinis bandymai atskleidė, kad „Android“ sistema pateikė leidimo užklausą, kai teisėtas apklijavimo failas bandė įdiegti kenkėjišką APK, tačiau net to buvo galima išvengti naudojant „DexClassLoader“.

Pora taip pat atskleidė, kaip būtų galima įgyvendinti išpuolį - aptariamą programą galima įkelti tik tuo atveju, jei kai kuriuos duomenis galima pridėti po „Centrinio katalogo pabaigos“ (EOCD) pašto žymeklio žymėjimo. Norėdami tai pasiekti, jie papildomai pridėjo kitą EOCD..

Buvo nustatyta, kad išpuolis veikia su naujausia „Android“ operacinės sistemos versija (4.2.2), tačiau atsakingas poros atskleidimas reiškia, kad „Android“ saugos komanda nuo gegužės 27 d. Žino apie šią problemą ir leido jiems sukurti pataisą, kuri buvo prieinama birželio 6 d. „Google“ sprendimas neleidžia duomenų pridėti po EOCD, tačiau kyla abejonių, ar jie tikrinami po pirmosios instancijos. Taigi „Android“ saugos komanda toliau nagrinėja šią problemą, todėl gali reikėti tolesnių pataisų.

Vis dėlto „Android“ ekosistema dažnai nėra greičiausia, kai reikia platinti saugos naujinimus. Daugelis vartotojų arba lėtai juos diegia, arba nusprendžia to nedaryti, tai reiškia, kad daugelis gali būti pažeidžiami tokio tipo išpuolių kurį laiką..

Tuo tarpu tyrėjai perspėja, kad nėra jokio realaus būdo aptikti tai, ką naudingoji apkrova daro APK, kad iš tikrųjų iššifruotų vaizdo failą. Jie pataria saugos inžinieriams - atidžiai stebėti visas programas, kurios iššifruoja išteklius ar turtą, atsimindamos, kad užpuolikas gali užmaskuoti jų POC..

Jie taip pat siūlo paleisti programas smėlio dėžėje, kol bus galima patikrinti, ar nėra kenksmingo ar netikėto elgesio, kuris paaiškės paleidus, nors tikrąją naudingą apkrovą galima paslėpti..

Be to, jie rekomenduoja į APK įtraukti griežtesnius apribojimus, kad vaizdai nebūtų iššifruojami galiojančiame APK.

Neįtariantys „Android“ vartotojai galėjo rasti kenkėjiškų programų, apvyniotų vaizdo failais
admin Author
Sorry! The Author has not filled his profile.