Epäilyttävät Android-käyttäjät voivat löytää kuvatiedostoihin käärittyjen haittaohjelmien

[ware_item id=33][/ware_item]

Epäilyttävät Android-käyttäjät voivat löytää kuvatiedostoihin käärittyjen haittaohjelmien


Tutkijat ovat löytäneet uuden tekniikan, jonka avulla haitalliset sovellukset voidaan toimittaa epätietoisille Android-käyttäjille kuvatiedostojen avulla.

Fortinetin haittaohjelmatutkija Axelle Apvrille ja Corkami-käännösinsinööri Ange Albertini suunnittelivat konseptikuvauksen (POC) hyökkäyksen ja esittelivät sen viime viikon Black Hat Europe -konferenssissa Amsterdamissa.

Pari pystyi salaamaan Albertinin kehittämän mukautetun työkalun, nimeltään AngeCryption, APK: n hyötykuormalla ja saattamaan sen näyttämään kuvatiedostona (he käyttivät PNG: tä, mutta muut kuvatiedostomuodot toimivat yhtä hyvin)..

Sitten he loivat toisen APK: n, joka kantoi rinnassa loukkuun jäänyttä kuvaa. Tämä toinen APK ei vain kääritty ja piilotettu ensimmäiseen, sillä oli myös kyky purkaa ja sitten asentaa se.

Tutkijat kirjoittivat Black Hat -puheenvuoron mukana toimitetussa lehdessä, että ”on mahdollista salata mikä tahansa syöte valittuun JPG- tai PNG-kuvaan… koodi kykenee muuttamaan tämän epäilyttävän kuvan toiseksi APK: ksi, joka kantaa haitallista hyötykuormaa.” Paperi menee sanomalla, että "käärivän APK: n staattinen analyysi, kuten purkaminen, ei paljasta mitään erityistä kyseisessä tavukoodissa (paitsi jos kumoamme salauspakkauksen)".

Huijaamalla Android-sovellusten käärejärjestelmää tällä tavalla duo pystyi luomaan paketin, joka todennäköisesti kiertää havaitsemisen ja päästä Google Playn Bouncerin ohi, sekä tietoturvasovellukset..

Apvrillen ja Albertinisin testaus paljasti, että Android-järjestelmä esitti lupapyynnön, kun laillinen kääritiedosto yritti asentaa haitallista APK: ta, mutta jopa sen voitiin estää DexClassLoaderilla.

Pari paljasti myös, kuinka hyökkäys voitaisiin toteuttaa - kyseinen sovellus voidaan ladata vain, jos joitain tietoja voidaan lisätä EOCD: n loppukäyttömerkin jälkeen - tämän saavuttamiseksi he vain lisäsivät toisen EOCD: n lisätietojen jälkeen..

Hyökkäyksen havaittiin toimivan Android-käyttöjärjestelmän uusimman version (4.2.2) kanssa, mutta parin vastuullinen paljastaminen tarkoittaa, että Android-tietoturvajoukkue on ollut tietoinen ongelmasta 27. toukokuuta lähtien, jolloin he pystyivät luomaan korjauksen, joka oli saatavana 6. kesäkuuta. Googlen ratkaisu estää tietojen liittämisen EOCD: n jälkeen, mutta on epäselvää, tarkistaako se ensimmäisen vaiheen jälkeen. Siksi Android-tietoturvatiimi jatkaa ongelman selvittämistä, ja lisäkorjauksia saattaa seurata.

Toisin sanoen, Android-ekosysteemi ei ole usein nopein tietoturvapäivitysten levittämisessä, ja monet käyttäjät asentavat niitä hitaasti tai päättävät olla tekemättä sitä, mikä tarkoittaa, että monet voivat olla alttiita tällaisille hyökkäyksille jonkin aikaa eteenpäin..

Sillä välin tutkijat varoittavat, että ei ole todellista tapaa havaita, mitä hyötykuorman APK tekee, ennen kuin kuvatiedosto puretaan. Heidän neuvojasa turvallisuusinsinööreille on seurata tarkkaavaisesti kaikkia sovelluksia, jotka purkavat resursseja tai omaisuutta, muistaen, että hyökkääjä voi hämärtää heidän POC: nsa..

He ehdottavat myös sovellusten suorittamista hiekkalaatikossa, kunnes ne voidaan tarkistaa vahingollisten tai odottamattomien käyttäytymistä varten, jotka ilmenevät suoritettaessa, vaikka todellinen hyötykuorma voidaan piilottaa.

Lisäksi he suosittelevat APK: eihin tiukempien rajoitusten lisäämistä, jotta estetään kuvien salauksen purkaminen kelvolliseksi APK: ksi.

Epäilyttävät Android-käyttäjät voivat löytää kuvatiedostoihin käärittyjen haittaohjelmien
admin Author
Sorry! The Author has not filled his profile.