Παράκαμψη του Google Bouncer, του συστήματος προστασίας από κακόβουλο λογισμικό Android

Σε απάντηση στον ολοένα και μεγαλύτερο στόχο που παρουσίαζε το λειτουργικό του σύστημα Android σε χάκερ, η Google παρουσίασε το σύστημα προστασίας από κακόβουλο λογισμικό 'Bouncer' το Φεβρουάριο του 2012. Το Bouncer σχεδιάστηκε για να φιλτράρει κακόβουλες εφαρμογές πριν εμφανιστούν ποτέ στο Android Market, καθώς κλήθηκε τότε. Το όνομα άλλαξε σε Google Play, αλλά ο Bouncer συνέχισε να αγκαλιάζει, προστατεύοντάς μας σιωπηλά από σκουλήκια και δούρειους ίππους.



Η Google ήταν ελαφριά στις λεπτομέρειες όταν αποκάλυψε τον Bouncer, αλλά τώρα δύο ερευνητές ασφαλείας από την Duo Security, ο Charlie Miller και ο Jon Oberheide, βρήκαν έναν τρόπο να έχουν πρόσβαση στο Bouncer από απόσταση και να το εξερευνήσουν από μέσα. Αυτό που βρήκαν δείχνει ότι οι έξυπνοι συντάκτες κακόβουλου λογισμικού θα μπορούσαν ακόμα να απορρίψουν το τηλέφωνό σας.

Τι κάνει το Bouncer

Καθ 'όλη τη διάρκεια του 2011, η Google μαστιζόταν από περιπτώσεις Κακόβουλο λογισμικό Android αξιοποιώντας εκμεταλλεύσεις στον κώδικα λειτουργικού συστήματος. Αυτό που ήταν χειρότερο, μερικές φορές αυτές οι κακόβουλες εφαρμογές κατέληξαν στο Android Market. Υπήρχαν εφαρμογές που έκλεψαν επαφές, παρακολούθησαν τα πλήκτρα σας και ακόμη και εκείνες που συγκέντρωσαν τεράστιους λογαριασμούς στέλνοντας γραπτά μηνύματα σε αριθμούς premium. Αυτός ο δυσάρεστος κώδικας κυμαινόταν συνήθως γύρω από φόρουμ warez, αλλά η εμφάνισή του στο Play Store δεν ήταν ανήκουστο.



Google PlayΗ Google επέτρεπε πάντα στους προγραμματιστές να ανεβάζουν τις εφαρμογές τους για να τις καταστήσουν άμεσα διαθέσιμες. Αλλά καθώς το Android προσέλκυσε περισσότερη προσοχή από λάθος είδη ανθρώπων, ήταν σαφές ότι έπρεπε να γίνει κάτι.



Το αποτέλεσμα ήταν Bouncer, αλλά η Google επέλεξε να μιλήσει για αυτό μόνο με τους πιο γενικούς όρους στην αρχή. Το Bouncer είχε σχεδιαστεί για να προσθέσει ένα νέο επίπεδο ασφάλειας στο Android χωρίς να απαιτεί από τους προγραμματιστές να περάσουν από μια κουραστική διαδικασία έγκρισης που εκτελείται από ψευδείς ανθρώπους. Η ψυχρή απόδοση ενός αυτοματοποιημένου μηχανήματος είναι απαραίτητη από την Google.

Η ανακοίνωση του Φεβρουαρίου ισχυρίστηκε ότι το Bouncer τρέχει αθόρυβα στο παρασκήνιο για αρκετούς μήνες, με αποτέλεσμα την πτώση 40% σε δυνητικά κακόβουλες εφαρμογές στο Market. Όταν ολοκληρωθούν οι σαρώσεις, οι εφαρμογές που περνούν θα δημοσιεύονται με τον κανονικό τρόπο. Οι προγραμματιστές έπρεπε να υποφέρουν μόνο με λίγα λεπτά καθυστέρησης. Φαινόταν σχεδόν σαν μια μαγική σφαίρα εκείνη την εποχή.

Όπως μαθαίνουμε τώρα, το κακόβουλο λογισμικό που εξοντώθηκε από τον Bouncer μπορεί να ήταν το χαμηλό κρεμαστό φρούτο.

Πώς λειτουργεί το Bouncer από μέσα



Οι Μίλερ και Ομπερχάιντ ερευνούν το Market / Play Store για αρκετό καιρό σε μια προσπάθεια να μάθουν περισσότερα για το Bouncer. Οι ερευνητές κατάφεραν τελικά ρίξτε μια ματιά στο spam-killer με μια ειδικά κωδικοποιημένη εφαρμογή Android σχεδιασμένη να επιτρέπει απομακρυσμένη πρόσβαση για το Duo Security. Το Bouncer είναι ένα εικονικό τηλέφωνο που μιμείται σε έναν διακομιστή Google. Όταν το Bouncer φόρτωσε την εφαρμογή trojan, οι Miller και Oberheide μπόρεσαν να τροφοδοτήσουν τις εντολές shell Bouncer μέσω μιας γραμμής εντολών. Έτσι αποκαλύφθηκαν τα μυστικά του Bouncer.

Το σύστημα εκτελεί έναν τύπο λογισμικού εικονικοποίησης που ονομάζεται QEMU, το οποίο είναι μια εύκολα ανιχνεύσιμη σημαία που θα μπορούσε να πει σε μια εφαρμογή που εκτελείται στο Bouncer. Ο λογαριασμός που χρησιμοποιείται για την καταχώριση του εικονικού τηλεφώνου είναι επίσης πανομοιότυπος, παρέχοντας έναν δεύτερο απλό τρόπο για το δακτυλικό αποτύπωμα Bouncer. Η Google έχει ρυθμίσει κάθε παρουσία του εικονικού της τηλεφώνου με honeypots για να δελεάσει κακόβουλο λογισμικό να κάνει ό, τι κάνει καλύτερα: κλέψτε πράγματα.

Γάτα ψευτοπαλλικαράΥπάρχουν δύο εικόνες στο τηλέφωνο Bouncer. μία από την Lady Gaga και μία από μια γάτα. Εάν εντοπιστεί μια εφαρμογή που μεταφορτώνει αυτές τις εικόνες σε έναν απομακρυσμένο διακομιστή, το Bouncer του δίνει μια γρήγορη κλωτσιά από την πόρτα. Ομοίως, εάν μια εφαρμογή προσπαθήσει να συλλέξει τα στοιχεία επικοινωνίας από το τηλέφωνο, η οποία περιλαμβάνει μία μόνο καταχώριση για ένα Michelle.k.levin@gmail.com, αυτό κάνει επίσης την εκκίνηση της εφαρμογής. Το Bouncer παρακολουθεί επίσης την υπηρεσία SMS σε περίπτωση που μια εφαρμογή προσπαθεί να στείλει μη εξουσιοδοτημένα μηνύματα κειμένου σε αριθμούς premium.



Δεν υπάρχει αμφιβολία ότι αυτός είναι ένας έξυπνος τρόπος σάρωσης για άσχημες απειλές, αλλά όπως επισημαίνει η Duo Security, οι επιτιθέμενοι θα μπορούσαν εύκολα να νικήσουν τον Bouncer στο δικό του παιχνίδι.

Πώς μπορεί να σπάσει το Bouncer

Η Duo Security έμαθε ένα σημαντικό μάθημα από τη μικρή εισβολή τους στο Bouncer: λειτουργεί μόνο όταν κανείς δεν γνωρίζει την εσωτερική του λειτουργία. Όπως περιέγραψα, οι Μίλερ και Ομπερχάιντ βρήκαν διάφορους τρόπους για να αποτυπώσουν το περιβάλλον Bouncer. Αυτό σημαίνει ότι ένας συντάκτης κακόβουλου λογισμικού θα μπορούσε να δημιουργήσει μια λειτουργική μονάδα που αναστέλλει κακόβουλη συμπεριφορά για ένα ορισμένο χρονικό διάστημα όταν εντοπίζεται το Bouncer.

Χωρίς καν να προχωρήσει τόσο μακριά, οι δημιουργοί κακόβουλου λογισμικού θα μπορούσαν να αποφύγουν τον εντοπισμό παίζοντας το δροσερό. Το Bouncer δεν εκτελεί εφαρμογές επ 'αόριστον. Στην πραγματικότητα, θα σαρώσει κάθε εφαρμογή που έχει μεταφορτωθεί για περίπου 5 λεπτά πριν την κηρύξει ασφαλή. Οι κακοί πρέπει απλώς να κρατήσουν τις προθέσεις τους κρυμμένες για λίγο για να αποφύγουν το σαρωτή όπως υπάρχει τώρα.

ΚέλυφοςΕναλλακτικά, οι σκιεροί άνθρωποι που θέλουν να εκμεταλλευτούν το τηλέφωνό σας μπορούν απλά να φορτώσουν μια αθώα εφαρμογή που περνά το Bouncer με ιπτάμενα χρώματα. Στη συνέχεια, με την πάροδο του χρόνου στοιχεία μπορούν να προστεθούν μέσω ενημερώσεων του Play Store που επιτρέπουν αδρανείς κακόβουλες λειτουργίες. Προφανώς αυτό είναι το long-con, αλλά για τη σωστή απόδοση, ίσως αξίζει τον κόπο.

Η Duo Security αναφέρει ότι έχει έρθει σε επαφή με την Google για να επιδιορθώσει τις ευπάθειες. Ορισμένα πράγματα μπορεί να είναι απλά για επίλυση, όπως σάρωση εφαρμογών για μεγαλύτερο χρονικό διάστημα ή αλλαγή των προεπιλεγμένων πληροφοριών λογαριασμού. Αλλά άλλοι, όπως το εύκολα ανιχνεύσιμο εικονικοποιημένο περιβάλλον, θα είναι πιο δύσκολο να σκληρυνθούν ενάντια στην επίθεση. Η καλύτερη λύση θα ήταν να τρέχετε εφαρμογές σε πραγματικές συσκευές, αλλά η εφοδιαστική μπορεί να το κάνει αδύνατο.

Οι Miller και Oberheide θα προσφέρουν μια πλήρη επίδειξη του hack στο SummerCon αργότερα αυτήν την εβδομάδα. Μέχρι τότε, η Google πιθανότατα εργάζεται σκληρά για να συνδέσει τις τρύπες στο Bouncer για να προστατεύσει από ένα νέο κύμα κακόβουλου λογισμικού.

Copyright © Ολα Τα Δικαιώματα Διατηρούνται | 2007es.com