Przejdź na

Apka „najlepszego cyberśledczego Australii” w Play: spyware i zdalne ataki

Nie instaluj oprogramowania spoza Google Play – to podstawowarada dla użytkowników smartfonów z Androidem, którzy chcąuniknąć nieprzyjemnych niespodzianek. Setki osób jednakzainstalowały ze sklepu Play aplikację o nazwie eVestigator, wedługopisu służącą do wykrywania zagrożeń na telefonie, wrzeczywistości wysyłającą swojemu twórcy dane o środowiskuużytkownika… i otwierającą łatwą drogę do zdalnego ataku.

Obraz
Adam Golański

eVestigator przedstawiał się w ciekawy sposób: otóż jegoautor, niejaki Simon Smith, najlepszy australijski cyberśledczy,miał tym narzędziem sprawdzać wszystkie 65535 portów TCP/IP wlokalnej sieci pod kątem zagrożeń, by ustalić, czy czasem ktośsię z zewnątrz nie włamał do intranetu. Dalej następowałypochwały wspaniałych osiągnięć pana Smitha – oszustwem jechałona kilometr. Moderatorom Google to jednak nie przeszkadzało.

W rzeczywistości aplikacja nawet nie robiła tego, co obiecywała.Owszem, przeprowadzała skan dla wszystkich portów, ale niegenerowała z tego żadnego raportu, jedynie wyświetlająckomunikat, że występuje 87375 „zagrożeń” (tj. portów), i nieprzerywając swojej pracy. Potem to wszystko, wraz z informacjami ośrodowisku systemowym i danymi wprowadzonymi przez użytkownika byłowysyłane do Simona Smitha.

Coś więcej o tym panu dowiedzieć się niełatwo. Wchodząc najego stronę evestigator.com.au zostaniemy automatycznie zablokowani,jako używający Tora czy VPN-u. Strona blokady zawiera za to listęjego niesamowitych osiągnięć (21 lat doświadczenia, ujawnienieponad 400 cyberprzestępców, tytuł Ambasadora Australii wcyberbezpieczeństwie – i podobne niedorzeczności).

Jak jednak odkryłbadacz podpisujący się jako MaXe z grupy InterN0T, aplikacjaumożliwia coś jeszcze. Każdy, kto przeprowadzi atakman-in-the-middle przeciwko domenie api.ipify.org, może zmusićeVestigatora do uruchomienia własnego kodu, który zostanieuruchomiony w kontekście jego procesu. Wszystko to ze względu nawykorzystanie metody addJavascriptInterface() w androidowymkomponencie WebViewer, która w jego starszych wersjach pozwala nauruchomienie dowolnego kodu w Javie poprzez kod w JavaScripcie.

MaXe potraktował to jako błąd w aplikacji, a nie przykładzamierzenie złośliwego oprogramowania, doniesienie o odkrytejpodatności wysłał do Simona Smitha. W odpowiedzi dostał groźbępozwu, a nieco później wezwanie do usunięcia z YouTube klipuwideo, na którym przedstawiono cały atak. Z Google Play pan Smithwycofał też swoją „aplikację bezpieczeństwa”.

Google sytuacji nie skomentowało.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
ChatGPT ma dużą awarię. Użytkownicy zgłaszają liczne problemy
ChatGPT ma dużą awarię. Użytkownicy zgłaszają liczne problemy
CERT Polska ostrzega przed fałszywymi powiadomieniami KSeF
CERT Polska ostrzega przed fałszywymi powiadomieniami KSeF
Problem z Blikiem i kartami Visa. Od rana usterka płatności (aktualizacja)
Problem z Blikiem i kartami Visa. Od rana usterka płatności (aktualizacja)
Awaryjne aktualizacje dla Windows Server. Rozwiązują usterki
Awaryjne aktualizacje dla Windows Server. Rozwiązują usterki
Zastrzegasz PESEL? Są dwa wyjątki
Zastrzegasz PESEL? Są dwa wyjątki
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
ZACZEKAJ! ZOBACZ, CO TERAZ JEST NA TOPIE 🔥