Hvis du ikke intetaner Android-brukere, kan du finne skadelig programvare pakket inn i bildefiler

[ware_item id=33][/ware_item]

Hvis du ikke intetaner Android-brukere, kan du finne skadelig programvare pakket inn i bildefiler


Forskere har oppdaget en ny teknikk som kan tillate skadelige apper å bli levert til intetanende Android-brukere via bildefiler.

Fortinet malware-forsker Axelle Apvrille og Corkami reverse engineer Ange Albertini tenkte et proof-of-concept-angrep (POC) og demonstrerte det på forrige ukes Black Hat Europe-konferanse i Amsterdam.

Ved hjelp av et tilpasset verktøy utviklet av Albertini, kalt AngeCryption, klarte paret å kryptere en Android-applikasjonspakke (APK) for nyttelast og få det til å se ut som en bildefil (de brukte en PNG, men andre bildefilformater fungerer like bra).

De opprettet deretter en annen APK som bar det 'booby-fanget' bildet. Denne andre APK-en ble ikke bare pakket rundt og gjemt den første, den hadde også muligheten til å dekryptere og deretter installere den.

I et papir som fulgte Black Hat-samtalen skrev forskerne at "det er mulig å kryptere hvilken som helst inngang til et valgt JPG- eller PNG-bilde ... koden er i stand til å forvandle dette unsuspicious bildet til en annen APK, og bærer den ondsinnede nyttelasten." for å si at "Statisk analyse, for eksempel dis-montering, av innpakning APK ikke avslører noe særlig om den bytekoden (bortsett fra hvis vi angre krypteringspakningen)."

Ved å lure Android-appinnpakningssystemet på denne måten klarte duoen å lage en pakke som sannsynligvis vil unngå deteksjon og komme forbi Google Play's Bouncer, så vel som sikkerhetsapper.

Testingen av Apvrille og Albertinis avslørte at Android-systemet fremla en tillatelsesforespørsel da den legitime innpakningsfilen forsøkte å installere den ondsinnede APK, men selv det kunne forhindres ved å bruke DexClassLoader.

Paret avslørte også hvordan angrepet kan implementeres - den aktuelle appen kan bare lastes hvis noen data kan legges ved etter endt av Central Directory (EOCD) zip-markør - for å oppnå dette la de ganske enkelt til en annen EOCD etter tilleggsdataene.

Det ble funnet at angrepet fungerte med den nyeste versjonen av Android-operativsystemet (4.2.2), men parets ansvarlige avsløring betyr at Android Security Team har vært klar over problemet siden 27. mai, slik at de kunne lage en løsning som ble gjort tilgjengelig 6. juni. Googles løsning forhindrer at data blir lagt til etter EOCD, men det er noen tvil om det sjekker etter første instans. Dermed fortsetter Android Security Team å undersøke problemet, og ytterligere rettelser kan følge.

Når det er sagt, er Android-økosystemet ofte ikke det raskeste når det gjelder å spre sikkerhetsoppdateringer, og mange brukere er enten treg i å installere dem eller velger å ikke gjøre det, noe som betyr at mange kan være sårbare for denne typen angrep i en stund fremover..

I mellomtiden advarer forskerne om at det ikke er noen reell måte å oppdage hva nyttelasten APK gjør i stedet for å faktisk dekryptere bildefilen. Deres råd til sikkerhetsingeniører er å holde et våkent øye med apper som dekrypterer ressurser eller eiendeler, og husk at deres POC kan bli tilslørt av en angriper.

De foreslår også å kjøre applikasjoner i en sandkasse til de kan sjekkes for ondsinnet eller uventet oppførsel, noe som vil bli tydelig når det kjøres, selv om den faktiske nyttelasten kan være skjult.

De anbefaler også å legge sterkere begrensninger til APK-er for å forhindre at bilder dekrypteres til en gyldig APK.

Hvis du ikke intetaner Android-brukere, kan du finne skadelig programvare pakket inn i bildefiler
admin Author
Sorry! The Author has not filled his profile.