Видео: BIGGY'S OUT!! The In or Out Slime Challenge By The Norris Nuts (Ноябрь 2024)
Одна из лучших вещей в мобильных операционных системах - песочница. Этот метод разделяет приложения, не позволяя рискованным приложениям (или любым приложениям) свободно управлять вашим Android. Но новая уязвимость может означать, что песочница Android не так сильна, как мы думали.
Что это такое?
В Black Hat Джефф Форристал продемонстрировал, как недостаток в том, как Android обрабатывает сертификаты, может быть использован для выхода из песочницы. Его можно даже использовать, чтобы предоставить вредоносным приложениям более высокий уровень привилегий, не давая жертвам подсказки о том, что происходит в их телефоне. Forristal сказал, что эту уязвимость можно использовать для кражи данных, паролей и даже полного контроля над несколькими приложениями.
В основе выпуска лежат сертификаты, которые в основном представляют собой небольшие криптографические документы, предназначенные для обеспечения того, чтобы приложение имело то, что оно утверждает. Forristal пояснил, что это та же самая технология, которую используют веб-сайты для обеспечения подлинности. Но, оказывается, Android не проверяет криптографические связи между сертификатами. Этот недостаток, по словам Forristal, «довольно важен для системы безопасности Android».
Что оно делает
В своей демонстрации Forristal использовал поддельное обновление Служб Google, которое содержало вредоносный код с использованием одной из уязвимостей Fake ID. Приложение было доставлено вместе с электронной почтой социальной инженерии, где злоумышленник представляет собой часть ИТ-отдела жертвы. Когда жертва идет на установку приложения, он видит, что приложение не требует никаких разрешений и выглядит законным. Android выполняет установку, и все выглядит нормально.
Но в фоновом режиме приложение Forristal использовало уязвимость Fake ID для автоматического и немедленного внедрения вредоносного кода в другие приложения на устройстве. В частности, сертификат Adobe для обновления Flash, чья информация была жестко закодирована в Android. В течение нескольких секунд он контролировал пять приложений на устройстве, некоторые из которых имели глубокий доступ к устройству жертвы.
Это не первый раз, когда Forristal бездельничает с Android. Еще в 2013 году Forristal поразил сообщество Android, когда он представил так называемый эксплойт Master Key. Эта широко распространенная уязвимость означала, что поддельные приложения могли быть замаскированы как легитимные, потенциально предоставляя вредоносным приложениям свободный проход.
Проверить ID
Презентация Forristal не только дала нам откровенные новости об Android, но и дала нам инструмент для защиты наших продуктов. Forristal выпустила бесплатный инструмент для сканирования, чтобы обнаружить эту уязвимость. Конечно, это все еще означает, что людям придется предотвращать проникновение вредоносных программ на их телефоны.
Об ошибке также сообщили в Google, и патчи, очевидно, выходят на разных уровнях.
Что еще более важно, вся атака зависит от жертвы, устанавливающей приложение. Правда, у него нет красного флажка для запроса большого количества разрешений, но Forristal сказал, что если пользователи избегают приложений из «темных мест» (читай: вне Google Play), они будут в безопасности. По крайней мере на данный момент.