Заобилажење Гоогле-овог избацивача, Андроид-овог система за заштиту од малвера

Као одговор на све већи циљ који је његов оперативни систем Андроид представио хакерима, Гоогле је у фебруару 2012. избацио систем „Боунцер“ против злонамерног софтвера. Боунцер је дизајниран за филтрирање злонамерних апликација пре него што су се икада појавиле на Андроид Маркету, као звало се у то време. Име се променило у Гоогле Плаи, али Боунцер се непрестано клатио, нечујно нас штитећи од црва и тројанских коња.

Гоогле је био лаган према детаљима када је открио Боунцер-а, али сада су два истраживача безбедности из Дуо Сецурити-а, Цхарлие Миллер и Јон Оберхеиде, пронашли начин за даљински приступ Боунцер-у и његово истраживање изнутра. Оно што су пронашли показује да паметни аутори злонамерног софтвера и даље могу да смеће у ваш телефон.



Шта Боунцер ради

Током 2011. године Гоогле је био мучен са примерима Андроид малваре искоришћавањем искоришћавања у ОС коду. Што је било још горе, понекад су ове злонамерне апликације на крају ушле на Андроид Маркет. Било је апликација које су крале контакте, пратиле ваше притиске тастера, па чак и оне које су нагомилавале огромне рачуне слањем СМС-а са бројевима премијских стопа. Овај неслани код обично је лебдео по варез форумима, али његово појављивање у Плаи продавници није било нечувено.



Гоогле ПлаиГоогле је програмерима увек дозвољавао да отпремају своје апликације како би их одмах учинили доступним. Али како је Андроид привлачио већу пажњу погрешних људи, било је јасно да нешто треба учинити.

Резултат је био Боунцер, али Гоогле је у почетку одлучио да говори о томе само најопштије. Боунцер је дизајниран да дода нови ниво сигурности Андроиду, а да програмери не захтевају досадан поступак одобравања који воде водљиви људи. Гоогле-у је потребна само хладна ефикасност аутоматизоване машине.



У фебруарском саопштењу се тврди да је Боунцер неколико месеци тихо радио у позадини, што је резултирало падом потенцијалних злонамерних апликација на тржишту од 40%. Када се скенирање заврши, апликације за прослеђивање биће објављене на уобичајен начин. Програмери су морали да трпе само неколико минута кашњења. У то време је изгледало готово као магични метак.

Као што сада сазнајемо, злонамерни софтвер који је Боунцер уништио можда је био плод.

Како Боунцер ради изнутра

Миллер и Оберхеиде истражују Маркет / Плаи Сторе већ неко време у покушају да сазнају више о Боунцер-у. Истраживачи су на крају успели завирите у убицу нежељене поште са посебно кодираном Андроид апликацијом дизајнираном да омогући даљински приступ за Дуо Сецурити. Избацивач је виртуелни телефон који се опонаша на Гоогле серверу. Када је Боунцер учитао тројанску апликацију, Миллер и Оберхеиде су могли да додају Боунцер-ове команде љуске преко командне линије. Тако су откривене Боунцерове тајне.



Систем користи тип софтвера за виртуелизацију који се зове КЕМУ, а то је лако уочљива заставица која апликацији може рећи да ради на Боунцер-у. Налог који се користи за регистрацију виртуелног телефона је такође идентичан, пружајући други једноставан начин за одузимање отиска прста. Гоогле је поставио сваку инстанцу свог виртуелног телефона са меденим тачкама како би подстакао малвер да ради оно што најбоље уме: краде ствари.

Цат БоунцерНа Боунцер телефону постоје две слике; један од Лади Гаге и један од мачака. Ако се открије апликација која те слике отпрема на удаљени сервер, Боунцер је брзим ударцем избацује кроз врата. Исто тако, ако апликација покуша прикупити контакт податке са телефона, што укључује један унос за један Мицхелле.к.левин@гмаил.цом, и то покреће апликацију. Избацивач такође надгледа СМС услугу у случају да нека апликација покуша да пошаље неовлашћене текстуалне поруке на бројеве са премиум тарифама.

Не може се порећи да је ово генијалан начин тражења гадних пријетњи, али како истиче Дуо Сецурити, нападачи би лако могли побиједити Боунцера у својој игри.

Како се Боунцер може сломити

Дуо Сецурити је научио једну важну лекцију из њиховог малог налета на Боунцер-а: делује само када нико не зна његов унутрашњи рад. Као што сам напоменуо, Миллер и Оберхеиде су смислили неколико начина за узимање отиска у Боунцер окружењу. То значи да је аутор злонамерног софтвера могао да направи модул који суспендује злонамерно понашање на одређено време када се открије Боунцер.

Чак и не идући тако далеко, аутори злонамерног софтвера могу избећи откривање играјући их цоол. Избацивач не покреће апликације у недоглед; у ствари ће скенирати само сваку апликацију која се отпреми око 5 минута пре него што је прогласи сигурном. Лоши момци само треба на кратко да скривају своје намере како би избегли скенер какав сада постоји.

ШкољкаАлтернативно, сеновити људи који желе да искористе ваш телефон могу само да учитају безазлену апликацију која преноси Боунцер у летећим бојама. Затим се временом могу додати компоненте путем ажурирања Плаи продавнице које омогућавају неактивне злонамерне функције. Очигледно је да је ово дуга превара, али за праву исплату би могло вредети.

Дуо Сецурити каже да је био у контакту са Гооглеом како би поправио рањивости. Неке ствари може бити једноставно поправити, попут скенирања апликација на дужи временски период или промене задатих података о налогу. Али друге, попут лако уочљивог виртуелизованог окружења, биће теже очврснути од напада. Најбоље решење би било покретање апликација на стварним уређајима, али логистика би то могла онемогућити.

Миллер и Оберхеиде ће понудити потпуну демонстрацију хаковања на СуммерЦон-у касније ове недеље. До тада, Гоогле вероватно напорно ради на уклањању рупа у Боунцер-у како би се заштитио од новог таласа малвера.

Copyright © Сва Права Задржана | 2007es.com