Ne sumnjivi korisnici Androida mogli bi pronaći zlonamjerni softver zamotan u slikovne datoteke

Ne sumnjivi korisnici Androida mogli bi pronaći zlonamjerni softver zamotan u slikovne datoteke

Istraživači su otkrili novu tehniku ​​koja bi mogla omogućiti isporuku zlonamjernih aplikacija nesumnjivim Android korisnicima putem slikovnih datoteka.

Fortinetov istraživač zlonamjernog softvera Axelle Apvrille i Corkamijev obrnuti inženjer Ange Albertini osmislili su napad dokaza o konceptu (POC) i demonstrirali ga na prošlotjednoj konferenciji Black Hat Europe u Amsterdamu.

Pomoću prilagođenog alata koji je razvio Albertini, nazvanog AngeCryption, par je uspio šifrirati aplikacijski paket korisnog opterećenja za Android (APK) i učiniti ga da izgleda kao slikovna datoteka (koristili su PNG, ali ostali formati slikovnih datoteka rade jednako dobro).

Zatim su stvorili drugi APK koji je nosio sliku "zarobljene u pleništu". Ovaj drugi APK nije bio samo omotan i prvi je sakrio, već je imao mogućnost i dešifriranja, a zatim i instaliranja.

U radu koji je popratio razgovor o Crnoj kapi istraživači su napisali da je "moguće šifrirati bilo koji ulaz u odabranu JPG ili PNG sliku ... kôd je u stanju transformirati ovu sumnjivu sliku u drugi APK, noseći zlonamjeran teret." na tvrdnju da „Statička analiza, poput rasklapanja, ambalaže APK-a, ne otkriva ništa posebno o tom bajt kodu (osim ako poništimo pakiranje šifriranja).“

Ako je na ovaj način vario Android sistem za omatanje, dvojac je mogao stvoriti paket koji će vjerojatno izbjeći otkrivanje i proći izbacivač Google Playa, kao i sigurnosne aplikacije.

Apvrilleova i Albertinisova testiranja otkrila su da je sustav Android podnio zahtjev za dozvolu kada je legitimna datoteka omota pokušala instalirati zlonamjerni APK, ali čak i to se moglo spriječiti korištenjem DexClassLoader.

Par je također otkrio kako se napad može provesti - predmetna aplikacija može se učitati samo ako se neki podaci mogu dodati nakon markera za završetak Centralnog imenika (EOCD) - da bi to postigli jednostavno su dodali još jedan EOCD nakon dodatnih podataka.

Za napad je utvrđeno da djeluje s najnovijom verzijom Android operativnog sustava (4.2.2), no otkrit odgovor odgovornog para znači da je sigurnosni tim Androida upoznat s tim problemom od 27. svibnja, omogućujući im da stvore ispravku koja je postala dostupna 6. lipnja. Googleovo rješenje sprječava da se podaci dodaju nakon EOCD-a, ali postoji izvjesna sumnja provjerava li se nakon prve instance. Stoga Androidov sigurnosni tim i dalje istražuje problem i mogući su daljnji popravci.

U skladu s tim, Android ekosustav često nije najbrži kada je u pitanju širenje sigurnosnih ažuriranja, a mnogi korisnici ili ih polako instaliraju ili se odluče da to ne učine, što znači da bi mnogi mogli neko vrijeme biti ranjivi na ovu vrstu napada.

U međuvremenu, istraživači upozoravaju da ne postoji pravi način za otkrivanje onoga što APK korisnog opterećenja nedostaje zapravo dešifriranja slikovne datoteke. Njihov savjet inženjerima sigurnosti je da budno paze na sve aplikacije koje dešifriraju resurse ili imovinu, sjećajući se da napadač može obeshrabriti njihov POC.

Oni također predlažu pokretanje aplikacija u pješčaniku dok ih se ne provjeri na zlonamjerna ili neočekivana ponašanja koja će postati vidljiva kada se pokrenu iako se stvarni teret može sakriti.

Također, preporučuju dodavanje jačih ograničenja APK-ima kako bi se spriječilo dešifriranje slika na valjani APK.

Ne sumnjivi korisnici Androida mogli bi pronaći zlonamjerni softver zamotan u slikovne datoteke
admin Author
Sorry! The Author has not filled his profile.