A gyanútlan Android-felhasználók rosszindulatú programokat találhatnak a képfájlokba csomagolva


A kutatók egy új technikát fedeztek fel, amely lehetővé teszi a rosszindulatú alkalmazások képfájlokon keresztül való eljuttatását a gyanútlan Android-felhasználók számára.

A Fortinet rosszindulatú programok kutatója, Axelle Apvrille és a Corkami fordított mérnök, Ange Albertini kidolgozta a koncepciókkal szembeni támadást (POC) és bemutatta azt a múlt heti Amszterdamban a Black Hat Europe konferencián..

Az Albertini által kifejlesztett, az AngeCryption néven szinkronizált eszközzel a pár képes volt az Android alkalmazáscsomagot (APK) titkosítani, és képfájlnak tűnni (PNG-t használtak, de más képfájl formátumok ugyanúgy működnek)..

Ezután elkészítették a második APK-t, amely a „csapdába esett” képet hordozta. Ezt a második APK-t nemcsak körbevágták és elrejtették, hanem képesek voltak dekódolni és telepíteni.

A Black Hat beszélgetést kísérő dokumentumban a kutatók azt írták, hogy „bármilyen bemenetet titkosíthatunk egy kiválasztott JPG vagy PNG képbe. A kód képes ezt a nem-képtelen képet egy másik APK-ba átalakítani, amely a rosszindulatú hasznos teherrel jár.” Azt mondva, hogy “a csomagoló APK statikus elemzése, például a szétszerelés, nem mutat semmiféle különlegeset a bájtkódról (kivéve, ha visszavonjuk a titkosítási csomagolást).”

Az Android alkalmazáscsomagoló rendszer ilyen módon történő becsapásával a duó létrehozhatott egy olyan csomagot, amely valószínűleg megkerüli az észlelést, és elkerülheti a Google Play Bouncerjét, valamint a biztonsági alkalmazásokat.

Apvrille és Albertinis tesztelése során kiderült, hogy az Android rendszer engedélyezési kérelmet nyújtott be, amikor a törvényes burkolófájl megpróbálta telepíteni a rosszindulatú APK-t, de ezt még a DexClassLoader használatával is meg lehet akadályozni..

A pár azt is kiderítette, hogyan lehet a támadást végrehajtani – a kérdéses alkalmazást csak akkor lehet betölteni, ha bizonyos adatokat hozzá lehet adni a Központi Könyvtár vége (EOCD) zip marker után – ennek elérése érdekében a kiegészítő adatok után egyszerűen hozzáadtak egy másik EOCD-t..

Megállapítást nyert, hogy a támadás működik az Android operációs rendszer legújabb verziójával (4.2.2), de a pár felelősségteljes nyilvánosságra hozatala azt jelenti, hogy az Android biztonsági csapata május 27. óta ismeri a problémát, lehetővé téve számukra egy javítás létrehozását, amelyet elérhetővé tettek. június 6-án. A Google megoldása megakadályozza az adatok hozzáfűzését az EOCD után, de kétséges, hogy az első példány után ellenőrzi-e az adatokat. Így az Android biztonsági csapata továbbra is vizsgálja a problémát, és további javítások következhetnek be.

Ugyanakkor az Android-ökoszisztéma gyakran nem a leggyorsabb a biztonsági frissítések terjesztésében, és sok felhasználó vagy lassan telepíti azokat, vagy úgy dönt, hogy nem teszi meg, vagyis sokan sebezhetők lehetnek ilyen típusú támadásokkal egy ideig..

Időközben a kutatók figyelmeztetik, hogy nincs valódi módja annak észlelésére, hogy az APK hasznos teherje miért nem képes ténylegesen visszafejteni a képfájlt. A biztonsági mérnökök számára azt tanácsolják, hogy figyeljen minden olyan alkalmazásra, amely dekódolja az erőforrásokat vagy eszközöket, emlékezve arra, hogy a támadó megsemmisítheti POC-ját..

Azt is javasolják, hogy futtassanak alkalmazásokat egy homokozóban, amíg nem ellenőrizhetők rosszindulatú vagy váratlan viselkedések, amelyek futtatáskor nyilvánvalóvá válnak, annak ellenére, hogy a tényleges hasznos teher elrejthető..

Javasolják továbbá, hogy az APK-khoz szigorúbb korlátozásokat adjunk hozzá, hogy megakadályozzuk a képek dekódolását érvényes APK-ként.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map