r   e   k   l   a   m   a
r   e   k   l   a   m   a

Apka „najlepszego cyberśledczego Australii” w Play: spyware i zdalne ataki

Strona główna AktualnościBEZPIECZEŃSTWO

Nie instaluj oprogramowania spoza Google Play – to podstawowa rada dla użytkowników smartfonów z Androidem, którzy chcą uniknąć nieprzyjemnych niespodzianek. Setki osób jednak zainstalowały ze sklepu Play aplikację o nazwie eVestigator, według opisu służącą do wykrywania zagrożeń na telefonie, w rzeczywistości wysyłającą swojemu twórcy dane o środowisku użytkownika… i otwierającą łatwą drogę do zdalnego ataku.

eVestigator przedstawiał się w ciekawy sposób: otóż jego autor, niejaki Simon Smith, najlepszy australijski cyberśledczy, miał tym narzędziem sprawdzać wszystkie 65535 portów TCP/IP w lokalnej sieci pod kątem zagrożeń, by ustalić, czy czasem ktoś się z zewnątrz nie włamał do intranetu. Dalej następowały pochwały wspaniałych osiągnięć pana Smitha – oszustwem jechało na kilometr. Moderatorom Google to jednak nie przeszkadzało.

W rzeczywistości aplikacja nawet nie robiła tego, co obiecywała. Owszem, przeprowadzała skan dla wszystkich portów, ale nie generowała z tego żadnego raportu, jedynie wyświetlając komunikat, że występuje 87375 „zagrożeń” (tj. portów), i nie przerywając swojej pracy. Potem to wszystko, wraz z informacjami o środowisku systemowym i danymi wprowadzonymi przez użytkownika było wysyłane do Simona Smitha.

r   e   k   l   a   m   a

Coś więcej o tym panu dowiedzieć się niełatwo. Wchodząc na jego stronę evestigator.com.au zostaniemy automatycznie zablokowani, jako używający Tora czy VPN-u. Strona blokady zawiera za to listę jego niesamowitych osiągnięć (21 lat doświadczenia, ujawnienie ponad 400 cyberprzestępców, tytuł Ambasadora Australii w cyberbezpieczeństwie – i podobne niedorzeczności).

Jak jednak odkrył badacz podpisujący się jako MaXe z grupy InterN0T, aplikacja umożliwia coś jeszcze. Każdy, kto przeprowadzi atak man-in-the-middle przeciwko domenie api.ipify.org, może zmusić eVestigatora do uruchomienia własnego kodu, który zostanie uruchomiony w kontekście jego procesu. Wszystko to ze względu na wykorzystanie metody addJavascriptInterface() w androidowym komponencie WebViewer, która w jego starszych wersjach pozwala na uruchomienie dowolnego kodu w Javie poprzez kod w JavaScripcie.

MaXe potraktował to jako błąd w aplikacji, a nie przykład zamierzenie złośliwego oprogramowania, doniesienie o odkrytej podatności wysłał do Simona Smitha. W odpowiedzi dostał groźbę pozwu, a nieco później wezwanie do usunięcia z YouTube klipu wideo, na którym przedstawiono cały atak. Z Google Play pan Smith wycofał też swoją „aplikację bezpieczeństwa”.

Google sytuacji nie skomentowało.

© dobreprogramy

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.