Nowy typ ataku: zaktualizuj swojego Androida, uaktywnij nieswojego szkodnika

Nowy typ ataku: zaktualizuj swojego Androida, uaktywnij nieswojego szkodnika24.03.2014 12:17

Dzięki pracy badaczy z Indiana University i Microsoftu,poznaliśmy zupełnie nową klasę podatności na ataki wnajpopularniejszym mobilnym systemie operacyjnym świata. Okazujesię, że bezpieczeństwu Androida zagraża sam proces jegoaktualizacji – a dostępne dla tego systemu narzędzia ochronne niesą w stanie w żaden sposób powstrzymać takiego ataku. Co gorsza,problem dotyczy nie tylko oficjalnych wydań Androida od Google'a,ale też kompilacji systemu przygotowywanych przez producentówsłuchawek, oraz wszystkich popularnych ROM-ów stworzonych przezspołeczność.

Artykuł pt. Upgrading Your Android, Elevating My Malware:Privilege Escalation Through Mobile OS Updatingto wynik prac informatyków z Indiana University Bloomington: LuyiXinga, Xiaorui Pana, Kan Yuana and XiaoFeng Wanga, współpracującychz ekspertem Microsoftu, Rui Wangiem. Autorzy przyjrzeli sięzabezpieczeniom procesu instalacji łatek – Package ManagementService (PMS). Odkryli w nim ciekawe błędy, związane z obsługąprzez PMS aktualizacji systemowych dla przeróżnych wersji Androida.

Okazuje się, że PMS niewłaściwie obsługuje aplikacje nastarszych wersjach Androida, które żądają nieistniejących tamuprawnień systemowych, przyznając im te uprawnienia automatyczniewraz z aktualizacją systemu. Błędy tego typu otrzymały nazwę*kolizji *(pileup flaws).Wykorzystując je, napastnik może przygotować złośliwąaplikację, która początkowo będzie zachowywała się niewinnie –aż do aktualizacji Androida, kiedy to otrzyma uprawnienia dostępowedo wrażliwych danych użytkownika, np. danych logowania. W tensposób można nawet przejąć kontrolę nad nowym mechanizmempodpisów i uprawnień systemowych, zyskując w ten sposób pełnąkontrolę nad telefonem czy tabletem ofiary.

Okazji do takiego ataku jestwiele. Nowe wersje Androida pojawiają się średnio co 3,5 miesiąca.Każda aktualizacja powoduje zmianę dziesiątków tysięcy plików.Każda nowa aplikacja musi być precyzyjnie skonfigurowana. Jejatrybuty ustawione muszą być w granicach sandboksa i jegoprzywilejów systemowych, by nie uszkodzić istniejących aplikacji idanych użytkownika. *To komplikuje logikę programuinstalującego takie aktualizacje, czyniąc go podatnym na krytycznebłędy bezpieczeństwa *–twierdzą badacze.

Zdaniem ekspertów, choć podatnena kolizje są wszystkie wersje Androida, to szczególnie zagrożonesą autorskie wersje producentów sprzętu. Jeśli już bowiemaktualizują oprogramowanie systemowe swoich urządzeń, to starająsię, by cały proces był dla użytkownika bezbolesny, by jego dane,ustawienia i zainstalowane aplikacje zostały zachowane. Podczasaktualizacji PMS porównuje dla wszystkich aplikacji ich zbioryuprawnień i automatycznie przyznaje nowe, żądane przez aplikacjeuprawnienia, by nie nękać użytkownika seriami pytań o zgodę,zakłada bowiem, że aplikacja w swoim zakresie dopuszczalnychdziałań została już zaakceptowana.

Sprytny napastnik może w tensposób nawet wprowadzić fałszywy komponent systemowy, noszącynazwę swojego oryginalnego odpowiednika z nowszej wersji systemu.Komponent taki zostaje wyniesiony do przestrzeni systemowej podczaspoinstalacyjnych porządków. To samo może się stać, gdy łączonesą dwie aplikacje ze starej i nowej wersji systemu – wystarczy, bystara wersja zawierała w sobie nieaktywny do tej pory złośliwykod.

Informacje o sześciuznalezionych podatnościach kolizyjnych badacze przesłali już doGoogle, które jak do tej pory załatało jedną z nich. Oprócz tegoprzygotowali skaner SecUP (dostępny już w GooglePlay), który pozwala sprawdzić zainstalowane w systemieaplikacje. Identyfikuje on potencjalne naruszenia ograniczeńaplikacji pod kątem możliwych problemów z wyniesieniem uprawnieńpodczas aktualizacji. Weryfikuje w tym celu wersję usługi PMS,wyszukuje obrazy systemowe Androida, by znaleźć miejscapotencjalnych zagrożeń, a następnie odwołuje się do gromadzonychw bazie danych informacji o szkodliwych aplikacjach.

Choć skala zagrożeniapotencjalnie jest ogromna, na ataki kolizyjne podatnych może byćponad miliard urządzeń, to odradzamy panikowanie, a zalecamyskorzystanie ze skanera SecUP. Zresztą, jeśli nie instalujemy jakpopadnie aplikacji z podejrzanych chińskich sklepów zoprogramowaniem, nie powinniśmy natrafić na malware korzystające ztego typu metod zarażenia systemu. Trzeba pamiętać, że Androidmiał już poważniejszeluki w zabezpieczeniach, udało się jednak je usunąć.

Z całym artykułem zapoznać sięmożecie tutaj.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na