משתמשי אנדרואיד שלא מערערים עלולים למצוא תוכנות זדוניות עטופות בקבצי תמונות

חוקרים גילו טכניקה חדשה שעלולה לאפשר העברת אפליקציות זדוניות למשתמשים אנדרואיד ללא תמיהה באמצעות קבצי תמונה.

חוקרת התוכנות הזדוניות מפורטינט אקסל אפוויל ומהנדסת ההפוך קורקמי אנז ‘אלברטיני המציאו מתקפת הוכחות-קונספט (POC) והדגימו זאת בכנס Black Hat Europe בשבוע שעבר באמסטרדם..

בעזרת כלי מותאם אישית שפותח על ידי אלברטיני, שכונה AngeCryption, הצליחו הזוג להצפין חבילת יישומי אנדרואיד של עומס מטען (APK) ולגרום לה להיראות כמו קובץ תמונה (הם השתמשו ב- PNG אך פורמטים אחרים של קובצי תמונה עובדים באותה מידה).

לאחר מכן הם יצרו APK שני שנשא את התמונה ‘ממולכדת’. ה- APK השני הזה לא רק נעטף והסתיר את הראשון, הוא גם יכול היה לפענח ואז להתקין אותו.

במאמר המלווה את שיחת הכובע השחור כתבו החוקרים כי “אפשר להצפין כל קלט לתמונת JPG או PNG שנבחרה … הקוד מסוגל להפוך תמונה בלתי מעוררת תמימות ל- APK אחר, נושא את המטען הזדוני.” על מנת לומר ש”ניתוח סטטי, כגון פירוק הרכבה, של ה- APK העטיפה אינו מגלה שום דבר מיוחד לגבי קוד התצורה ההוא (פרט אם אנו מבטלים את אריזת ההצפנה). “

על ידי הונאת מערכת העטיפה של אפליקציות אנדרואיד בדרך זו הצליח הצמד ליצור חבילה שסביר להניח שתתחמק מהגילוי ותחלוף על פני ה- Bouncer של גוגל פליי, כמו גם אפליקציות אבטחה..

בדיקות אפריל ואלברטיניס העלו כי מערכת האנדרואיד אכן הציגה בקשת הרשאה כאשר קובץ העטיפה הלגיטימי ניסה להתקין את ה- APK הזדוני, אך אפילו ניתן היה למנוע זאת באמצעות DexClassLoader..

הצמד חשף גם כיצד ניתן ליישם את ההתקפה – ניתן לטעון את האפליקציה המדוברת רק אם ניתן להוסיף נתונים מסוימים לאחר סמן ה- zip של סוף ה- Directory Directory (EOCD) – כדי להשיג זאת הם פשוט הוסיפו EOCD נוסף לאחר הנתונים הנוספים..

התקיפה התבררה כעבודה עם הגרסה האחרונה של מערכת ההפעלה אנדרואיד (4.2.2), אולם הגילוי האחראי של הצמד פירושו שצוות האבטחה של אנדרואיד היה מודע לבעיה מאז 27 במאי, ומאפשר להם ליצור תיקון שהועלה לזמין ב- 6 ביוני. הפיתרון של גוגל מונע הוספת נתונים לאחר EOCD אך יש ספק אם הם בודקים לאחר המופע הראשון. כך צוות האבטחה של אנדרואיד ממשיך לבדוק את הבעיה וייתכן כי יתקבלו תיקונים נוספים.

עם זאת, המערכת האקולוגית של אנדרואיד היא לרוב לא המהירה ביותר בכל מה שקשור להפצת עדכוני אבטחה, ומשתמשים רבים מאטים בהתקנתם או בוחרים שלא לעשות זאת, כלומר רבים עשויים להיות חשופים להתקפה מסוג זה למשך זמן מה..

בינתיים, החוקרים מזהירים כי אין דרך אמיתית לגלות מה מטען המשקל ש- APK עושה בפועל מפענח את קובץ התמונה. העצה שלהם למהנדסי אבטחה היא לפקוח עין על כל אפליקציות שמפענחות משאבים או נכסים, תוך זכור כי התוקף יכול להיות מעורפל על ידי תוקף.

הם גם מציעים להריץ יישומים בתוך ארגז חול עד שניתן יהיה לבדוק אותם בהתנהגות זדונית או בלתי צפויה אשר תתברר בעת הפעלה למרות שניתן להסתיר את העומס בפועל..

כמו כן, הם ממליצים להוסיף אילוצים חזקים יותר ל- APKs כדי למנוע פענוח של תמונות ל- APK תקף.