Video: WindowsUpdate.exe (Septembra 2024)
Jednou z najlepších vecí na mobilných operačných systémoch je pieskovisko. Táto technika rozdeľuje aplikácie, čím zabraňuje rizikovým aplikáciám (alebo akejkoľvek aplikácii), aby mali bezplatný prístup k vášmu Androidu. Nová zraniteľnosť však môže znamenať, že karanténa systému Android nie je taká silná, ako sme si mysleli.
Čo je to?
Na Black Hat, Jeff Forristal demonštroval, ako by sa dala chyba v tom, ako Android spracováva certifikáty, použiť na únik z karantény. Mohlo by sa dokonca použiť na poskytnutie škodlivých aplikácií vyšším úrovniam privilégií, a to bez toho, aby obetiam bolo jasné, čo sa deje v ich telefóne. Spoločnosť Forristal uviedla, že túto chybu zabezpečenia možno použiť na odcudzenie údajov, hesiel a dokonca získanie úplnej kontroly nad viacerými aplikáciami.
Jadrom vydania sú certifikáty, ktoré sú v podstate malými kryptografickými dokumentmi, ktoré majú zabezpečiť, aby aplikácia bola tým, čo tvrdí. Forristal vysvetlil, že ide o tú istú technológiu, akú používajú webové stránky, aby sa zabezpečila autentickosť. Ukázalo sa však, že Android neskúma kryptografické vzťahy medzi certifikátmi. Táto chyba, povedal Forristal, je „celkom zásadný pre bezpečnostný systém Android.“
Čo to robí
Vo svojej demonštrácii použil Forristal falošnú aktualizáciu služieb Google, ktorá obsahovala škodlivý kód pomocou jednej z zraniteľností s falošným ID. Aplikácia bola doručená spolu s e-mailom v oblasti sociálneho inžinierstva, kde útočník predstavuje súčasť IT oddelenia obete. Keď obeť ide na inštaláciu aplikácie, vidí, že aplikácia nevyžaduje žiadne povolenia a zdá sa byť legitímna. Android vykoná inštaláciu a všetko sa zdá byť v poriadku.
Na pozadí však aplikácia Forristal použila zraniteľnosť typu Fake ID na automatické a okamžité vloženie škodlivého kódu do iných aplikácií na zariadení. Konkrétne certifikát Adobe na aktualizáciu programu Flash, ktorého informácie boli pevne zakódované do systému Android. V priebehu niekoľkých sekúnd mal na prístroji kontrolu nad piatimi aplikáciami, z ktorých niektoré mali hlboký prístup k zariadeniu obete.
Toto nie je prvýkrát, čo sa spoločnosť Forristal potýkala so systémom Android. V roku 2013 spoločnosť Forristal vystrašila komunitu Android, keď odhalil zneužitie tzv. Master Key. Táto široko rozšírená zraniteľnosť znamenala, že falošné aplikácie by mohli byť maskované ako legitímne, čo by potenciálne mohlo bezplatne získať škodlivé aplikácie.
Skontrolujte ID
Forristalova prezentácia nám nepriniesla iba očarujúce správy o systéme Android, ale tiež nám poskytla nástroj na ochranu našich členov. Spoločnosť Forristal vydala bezplatný skenovací nástroj na zistenie tejto chyby zabezpečenia. To, samozrejme, stále znamená, že ľudia budú musieť zabrániť tomu, aby sa do ich telefónov dostával škodlivý softvér.
Chyba bola nahlásená aj spoločnosti Google a záplaty zjavne prichádzajú na rôznych úrovniach.
Ešte dôležitejšie je, že celý útok závisí na obete inštalujúcej aplikáciu. Je pravda, že nemá červenú vlajku so žiadosťou o veľa povolení, ale Forristal povedal, že ak sa používatelia vyhnú aplikáciám z „tienistých miest“ (čítaj: mimo Google Play), budú v bezpečí. Aspoň teraz.
