Apka „najlepszego cyberśledczego Australii” w Play: spyware i zdalne ataki

Apka „najlepszego cyberśledczego Australii” w Play: spyware i zdalne ataki

04.07.2017 15:52

Nie instaluj oprogramowania spoza Google Play – to podstawowarada dla użytkowników smartfonów z Androidem, którzy chcąuniknąć nieprzyjemnych niespodzianek. Setki osób jednakzainstalowały ze sklepu Play aplikację o nazwie eVestigator, wedługopisu służącą do wykrywania zagrożeń na telefonie, wrzeczywistości wysyłającą swojemu twórcy dane o środowiskuużytkownika… i otwierającą łatwą drogę do zdalnego ataku.

eVestigator przedstawiał się w ciekawy sposób: otóż jegoautor, niejaki Simon Smith, najlepszy australijski cyberśledczy,miał tym narzędziem sprawdzać wszystkie 65535 portów TCP/IP wlokalnej sieci pod kątem zagrożeń, by ustalić, czy czasem ktośsię z zewnątrz nie włamał do intranetu. Dalej następowałypochwały wspaniałych osiągnięć pana Smitha – oszustwem jechałona kilometr. Moderatorom Google to jednak nie przeszkadzało.

W rzeczywistości aplikacja nawet nie robiła tego, co obiecywała.Owszem, przeprowadzała skan dla wszystkich portów, ale niegenerowała z tego żadnego raportu, jedynie wyświetlająckomunikat, że występuje 87375 „zagrożeń” (tj. portów), i nieprzerywając swojej pracy. Potem to wszystko, wraz z informacjami ośrodowisku systemowym i danymi wprowadzonymi przez użytkownika byłowysyłane do Simona Smitha.

Coś więcej o tym panu dowiedzieć się niełatwo. Wchodząc najego stronę evestigator.com.au zostaniemy automatycznie zablokowani,jako używający Tora czy VPN-u. Strona blokady zawiera za to listęjego niesamowitych osiągnięć (21 lat doświadczenia, ujawnienieponad 400 cyberprzestępców, tytuł Ambasadora Australii wcyberbezpieczeństwie – i podobne niedorzeczności).

Jak jednak odkryłbadacz podpisujący się jako MaXe z grupy InterN0T, aplikacjaumożliwia coś jeszcze. Każdy, kto przeprowadzi atakman-in-the-middle przeciwko domenie api.ipify.org, może zmusićeVestigatora do uruchomienia własnego kodu, który zostanieuruchomiony w kontekście jego procesu. Wszystko to ze względu nawykorzystanie metody addJavascriptInterface() w androidowymkomponencie WebViewer, która w jego starszych wersjach pozwala nauruchomienie dowolnego kodu w Javie poprzez kod w JavaScripcie.

MaXe potraktował to jako błąd w aplikacji, a nie przykładzamierzenie złośliwego oprogramowania, doniesienie o odkrytejpodatności wysłał do Simona Smitha. W odpowiedzi dostał groźbępozwu, a nieco później wezwanie do usunięcia z YouTube klipuwideo, na którym przedstawiono cały atak. Z Google Play pan Smithwycofał też swoją „aplikację bezpieczeństwa”.

Google sytuacji nie skomentowało.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (9)