Google'i väljavõtja, Androidi pahavaratõrjesüsteemi, möödahiilimine

Vastuseks üha suuremale sihtmärgile, mida Androidi operatsioonisüsteem häkkeritele esitles, tõi Google 2012. aasta veebruaris välja pahavaratõrjesüsteemi “Bouncer”. Väljavõtja oli mõeldud pahatahtlike rakenduste välja filtreerimiseks enne, kui need kunagi Android Marketis ilmusid. sel ajal helistati. Nimi muutus Google Playks, kuid Bouncer muudkui kaisutas, kaitstes meid vaikselt usside ja Trooja hobuste eest.

Google oli Bounceri paljastamisel detailidele vähe tähelepanu pööranud, kuid nüüd on kaks Duo Security turvateadlast Charlie Miller ja Jon Oberheide leidnud viisi, kuidas Bouncerile kaugjuurdepääsu võimaldada ja seda seestpoolt uurida. Mida nad leidsid, näitab, et nutikad pahavara autorid võivad siiski teie telefoni prügikasti viia.



Mida Bouncer teeb

Kogu 2011. aasta kimbutas Google juhtumeid Androidi pahavara OS-koodi ekspluateerimise ärakasutamine. Mis veelgi hullem, mõnikord sattusid need pahatahtlikud rakendused Android Marketisse. Oli rakendusi, mis varastasid kontakte, jälgisid teie klahvivajutusi, ja isegi neid, mis kogusid tohutuid arveid kõrgtaseme numbritele saatmise teel. See ebameeldiv kood hõljus tavaliselt warezi foorumites, kuid selle ilmumine Play poes polnud sugugi ennekuulmatu.



Google PlayGoogle on alati lubanud arendajatel oma rakendusi üles laadida, et need kohe kättesaadavaks teha. Kuid kuna Android äratas rohkem tähelepanu valet tüüpi inimestelt, oli selge, et midagi tuleb teha.

Tulemuseks oli Bouncer, kuid Google otsustas sellest esialgu rääkida ainult kõige üldisematest terminitest. Bouncer loodi Androidile uue turvakihi lisamiseks, ilma et arendajatel oleks vaja läbida tüütut heakskiitmisprotsessi, mida juhivad tigedad inimesed. Google vajab vaid automatiseeritud masina külma efektiivsust.



Veebruarikuine teade väitis, et Bouncer oli mitu kuud vaikselt taustal töötanud, mille tulemusel vähenesid potentsiaalselt pahatahtlikud rakendused turul 40%. Kui skannimine on lõpule jõudnud, avaldatakse läbivad rakendused tavapärasel viisil. Arendajad pidid kannatama vaid mõneminutilise viivituse käes. See tundus tollal peaaegu võluväel.

Nagu me nüüd õpime, võis Bounceri poolt hävitatud pahavara olla madalalt rippuv vili.

Kuidas Bouncer töötab seestpoolt

Miller ja Oberheide on mõnda aega uurinud Market / Play poodi, et saada rohkem teada Bounceri kohta. Teadlastel see lõpuks õnnestus piilu rämpspostimõrvarisse spetsiaalselt kodeeritud Androidi rakendusega, mis on loodud Duo Security kaugjuurdepääsu võimaldamiseks. Bouncer on virtuaalne telefon, mida jäljendatakse Google'i serveris. Kui Bouncer laadis Trooja rakenduse, suutsid Miller ja Oberheide käsurea kaudu toita Bounceri kestakäske. Nii selgusid Bounceri saladused.



Süsteem töötab teatud tüüpi virtualiseerimistarkvara nimega QEMU, mis on hõlpsasti tuvastatav lipp, mis võib öelda rakendusele, mis töötab Bounceris. Virtuaalse telefoni registreerimiseks kasutatav konto on samuti identne, pakkudes teist lihtsat viisi Bounceri sõrmejälgedeks. Google on loonud oma virtuaalse telefoni iga näite koos kärgedega, et meelitada pahavara tegema seda, mida ta kõige paremini oskab: varastada asju.

Kass BouncerBounceri telefonis on kaks pilti; üks Lady Gaga ja üks kass. Kui tuvastatakse rakendus, mis neid pilte kaugserverisse üles laadib, annab Bouncer talle kiire ukse välja. Samamoodi käivitatakse rakendus ka siis, kui rakendus proovib telefonist kontaktteavet koristada, mis sisaldab ühe sisestuse ühe Michelle.k.levin@gmail.com kohta. Bouncer jälgib ka SMS-teenust juhuks, kui rakendus üritab lubamatuid tekstsõnumeid saata kõrgtasemel numbritele.

Ei saa eitada, et see on leidlik viis vastikute ohtude otsimiseks, kuid nagu Duo Security märgib, võivad ründajad Bouncerit tema enda mängus kergesti võita.

Kuidas põngerjat saab murda

Duo Security õppis oma väikesest proovikivist Bouncerisse ühe olulise õppetunni: see töötab ainult siis, kui keegi ei tea selle sisemist tööd. Nagu ma visandasin, mõtlesid Miller ja Oberheide välja mitu võimalust Bounceri keskkonna sõrmejälgede võtmiseks. See tähendab, et pahavara autor võiks ehitada mooduli, mis peatab pahatahtliku käitumise teatud aja jooksul, kui väljaviskaja tuvastatakse.

Isegi nii kaugele minemata võivad pahavara autorid avastamisest kõrvale hoida, mängides seda lahedalt. Bouncer ei käivita rakendusi lõpmatuseni; Tegelikult skannib see ainult iga rakenduse, mis on üles laaditud, umbes viis minutit enne selle ohutuks tunnistamist. Pahad poisid peavad lihtsalt skannerist kõrvale hoidma, nagu see praegu eksisteerib, lühikese aja jooksul varjatud.

KestTeise võimalusena võivad varjulised inimesed, kes soovivad teie telefoni ära kasutada, lihtsalt laadida kahjutu rakenduse, mis möödub Bouncerist lendavate värvidega. Seejärel saab aja jooksul Play poe värskenduste kaudu lisada komponente, mis võimaldavad uinuvaid pahatahtlikke funktsioone. Ilmselgelt on see pikaajaline, kuid õige väljamakse jaoks võib see olla seda väärt.

Duo Security ütleb, et on haavatavuste parandamiseks ühendust võtnud Google'iga. Mõne asja lahendamine võib olla lihtne, näiteks rakenduste pikema aja jooksul skannimine või konto vaiketeabe muutmine. Kuid teisi, nagu hõlpsasti tuvastatav virtualiseeritud keskkond, on raskem rünnakute vastu karastada. Parim lahendus oleks rakenduste käitamine reaalsetes seadmetes, kuid logistika võib selle võimatuks muuta.

Miller ja Oberheide pakuvad selle nädala lõpus SummerConis häkkimise täielikku demot. Seni teeb Google tõenäoliselt palju tööd Bounceri aukude ühendamiseks, et kaitsta uut pahavara lainet.

Copyright © Kõik Õigused Kaitstud | 2007es.com