Michael Fisher
0 
1672
353
Kaže se da je put do pakla popločen dobrim namjerama. Možete učiniti nešto s najjadnijim ciljevima, ali ako niste oprezni, sve može postati grozno, nevjerojatno brzo.
Sigurna ranjivost u Androidovim uslugama pristupačnosti - koje je otkrio istraživač sigurnosti SkyCure Yair Amit - sjajan je primjer toga. Iskorištavajući nedostatak u alatu koji slijepim i slabovidnim osobama omogućuje korištenje Android uređaja, napadač može steći kontrolu nad uređajem, u procesu stjecanja povećanih privilegija i iskorištavanja pristupa datotekama pohranjenim na njemu.
Pogledajmo i saznajmo kako možete spriječiti da se ovo događa.
Razumijevanje mana
Eksplozija se temelji na ranijim istraživanjima SkyCure-a, objavljenim na ovogodišnjoj RSA konferenciji. Istraživanje je istražilo kako stvaranjem aplikacija koje mogu privući druge i zauzvrat pokreću ugrađene usluge pristupačnosti (poboljšanja korisničkog sučelja dizajnirana za pomoć korisnicima s invaliditetom) možete uvesti razne vrste zloćudnog ponašanja, kao što je pokazano u video ispod.
Kao dokaz koncepta, SkyCure je kreirao igru zasnovanu na popularnoj televizijskoj seriji Rick i Morty, koja zapravo pokreće zlonamjeran pristup usluzi, a sve bez da korisnik primijeti..
Opisujući izvornu prijetnju, SkyCure kaže da bi se to moglo iskoristiti “daju zlonamjernom hakeru neograničeno dopuštenja za njihov zlonamjerni softver”. Jedna od potencijalnih aplikacija za napad, kaže SkyCure, je razmještanje ransomwarea. Također se može koristiti za sastavljanje korporacijskih e-poruka i dokumenata putem korisnikovog uređaja, kao i uporno nadgledanje aktivnosti uređaja.
Ova vrsta napada ima naziv - klikanje ili rjeđe a “U napadu na sučelje”. OWASP (Otvoreni projekt sigurnosti web aplikacija) definira klikanje kao kada “napadač koristi više prozirnih ili neprozirnih slojeva kako bi prevario korisnika da klikne na gumb ili vezu na drugoj stranici kada je namjeravao kliknuti stranicu na najvišoj razini”.
Počevši od Android Lollipopa (5.x), Google je dodao zaobilazno rješenje koje bi, teoretski, onemogućilo ovakav napad. Promjena koju je uveo Google značila je da ako korisnik želi aktivirati usluge pristupačnosti, gumb OK ne može se pokriti preklapanjem, sprečavajući napadača da ga neovlašteno pokrene..
Za referencu, to izgleda kako ručno pokrenete uslugu pristupačnosti. Kao što vidite, Google je vrlo izričit u vezi s potrebnim dozvolama za Android Kako rade dozvole za Android i zašto bi vas trebalo zanimati kako rade dozvole za Android i zašto bi vam trebalo briga za Android, prisiljavati aplikacije da izjavljuju koja su im dopuštenja potrebna kada ih instaliraju. Možete zaštititi svoju privatnost, sigurnost i račun za mobitel tako što ćete obratiti pažnju na dozvole prilikom instaliranja aplikacija - iako mnogi korisnici…. To će mnoge korisnike odvratiti od instaliranja usluga pristupačnosti na prvom mjestu.
Kako pobijediti Googleove zaštite
Yair Amit je, međutim, uspio pronaći nedostatak u Google-ovom pristupu.
“Bio sam u hotelu kad mi je palo na pamet da, iako su vrata hotela uglavnom blokirala moj pogled na hodnik vani, postojala je rupa koja nije blokirala pogled. Ovo je moja epifanija navela me da pomislim da ako postoji rupa u prekrivaču, gumb OK može se 'uglavnom pokriti' i još uvijek prihvatiti dodir u potencijalno vrlo malom području koje nije bilo pokriveno, zaobilazeći tako novu zaštitu i i dalje skriva istinsku namjeru od korisnika.”
Kako bi testirao ovu ideju, razvijač softvera SkyCure Elisha Eshed izmijenio je igru Rick and Morty, koja je korištena u izvornom konceptu potvrde iskorištavanja. Eshed je stvorio malu rupu u prekrivaču, koja je bila prerušena u igrački predmet, ali zapravo je bila potvrdna tipka na usluzi pristupačnosti. Kada je korisnik kliknuo stavku igre, pokrenuta je usluga, a s njom i sve nepoželjno ponašanje.
Iako je originalni eksploatator radio protiv gotovo svih Android uređaja sa Android KitKat Službeno su: Nexus 5 i Android 4.4 KitKat su ovdje i službeno: Nexus 5 i Android 4.4 KitKat su ovdje Nexus 5 sada je u prodaji u trgovini Google Play, a pokreće ga. potpuno novi Android 4.4 KitKat, koji će se u narednim tjednima također predstaviti drugim uređajima. i ranije, ovaj pristup povećava broj iskoristivih uređaja, uključujući one koji rade na Android 5.0 Lollipop Android 5.0 Lollipop: Što je to i kada ćete ga dobiti Android 5.0 Lollipop: Što jest i kada ćete ga dobiti Android 5.0 Lollipop je ovdje, ali samo na Nexus uređajima. Što je točno novo u ovom operativnom sustavu i kada možete očekivati da će stići na vaš uređaj? , Kao posljedica toga, gotovo svi aktivni Android uređaji osjetljivi su na ovaj napad. SkyCure procjenjuje da bi do 95,4% Android uređaja moglo biti pogođeno.
Ublažavanje protiv toga
U skladu s razumnim postupcima odgovornog otkrivanja Potpuno ili odgovorno otkrivanje: Kako se ranjivosti sigurnosti otkrivaju potpunim ili odgovornim otkrivanjem: Kako se ranjivosti sigurnosti otkrivaju Sigurnosne ranjivosti u popularnim softverskim paketima otkrivaju se stalno, ali kako se prijavljuju programerima i kako hakeri saznaju o ranjivostima koje mogu iskoristiti? , SkyCure je prvo kontaktirao Google prije nego što ga je pustio u javnost kako bi im pružio priliku da ga isprave. Googleov sigurnosni tim za Android odlučio je ne riješiti problem i prihvatio je rizik kao posljedica postojećeg dizajna.
Da bi ublažio prijetnju, SkyCure preporučuje korisnicima da pokreću ažuriranu verziju mobilnog rješenja obrane od prijetnje. Oni se proaktivno brane od prijetnji, slično kao IPS (Sustav za zaštitu od provale) ili IDS (Sustav za otkrivanje provale). Međutim, oni su u velikoj mjeri usmjereni na poslovne korisnike i daleko prevazilaze mogućnosti većine kućnih korisnika.
SkyCure preporučuju kućnim korisnicima da se zaštite tako što će osigurati da aplikacije preuzimaju samo iz pouzdanih izvora. Je li sigurno instalirati Android aplikacije iz nepoznatih izvora? Je li sigurno instalirati Androidove aplikacije iz nepoznatih izvora? Google Play trgovina nije vaš jedini izvor aplikacija, ali je li sigurno pretraživati drugdje? , kao što je Google Play Store. Također preporučuje da uređaji pokreću ažuriranu verziju Androida, mada s obzirom na fragmentirani Android ekosustav i postupak ažuriranja na temelju mobilnog operatera Zašto moj Android telefon još nije ažuriran? Zašto se moj Android telefon još nije ažurirao? Proces ažuriranja Androida dug je i kompliciran; Hajde da istražimo kako bismo točno saznali zašto vaš Android telefon traje toliko dugo za ažuriranje. , to je lakše reći nego učiniti.
Vrijedno je napomenuti da Marshmallow - najnovija inačica Androida - zahtijeva od korisnika da ručno i posebno izrade prekrivanje sustava promjenom dozvola za tu aplikaciju. Iako bi ova vrsta ranjivosti eventualno mogla utjecati na uređaje koji pokreću Marshmallow, u stvarnosti se to neće dogoditi, jer je to znatno teže iskoristiti.
Stavljajući sve u kontekst
SkyCure je identificirao opasan i održiv način da napadač potpuno dominira na Android uređaju. Iako je zastrašujuće, vrijedi se podsjetiti da puno napada mora pasti u mjesto da bi napad na temelju njega djelovao.
Napadač ili mora učiniti jednu od dvije stvari. Jedna taktika bila bi njihova primjena u trgovini Google Play - zaobilazeći njihove izuzetno energične statičke analize i postupke otkrivanja prijetnji. To je vrlo malo vjerojatno. Šest godina od otvaranja i milijuni aplikacija kasnije, Google je postao izuzetno dobar u prepoznavanju zlonamjernog softvera i lažnog softvera. U tom je trenutku i Apple, iako je Microsoft još dug put.
Alternativno, napadači će morati uvjeriti korisnika da namjesti svoj telefon da prihvaća softver iz neslužbenih izvora i instalirati inače nepoznatu aplikaciju. Budući da je to malo vjerojatno da će naći veliku publiku, napadači će zahtijevati da odaberu metu i 'koplje' ih.
Iako će ovo neizbježno biti noćna mora za korporativne IT odjele, to će biti manje problema za obične kućne korisnike, od kojih velika većina svoje aplikacije dobiva iz jednog službenog izvora - Google Play Store.
Kreditna slika: Slomljeni lokot Ingvara Bjorka preko Shutterstocka