Zaobilazeći Googleov izbacivač, Androidov sustav za zaštitu od zlonamjernog softvera

Kao odgovor na sve veći cilj koji je svoj operativni sustav Android predstavio hakerima, Google je u veljači 2012. izbacio sustav 'Bouncer' protiv zlonamjernog softvera. Bouncer je dizajniran za filtriranje zlonamjernih aplikacija prije nego što su se ikad pojavile na Android Marketu, kao u to se vrijeme zvalo. Ime je promijenjeno u Google Play, ali Bouncer se neprestano ljubio, šuteći nas štiteći od crva i trojanskih konja.

Google je bio lagan u detaljima kada je otkrio Bouncera, ali sada su dvojica sigurnosnih istraživača iz Duo Securitya, Charlie Miller i Jon Oberheide, pronašli način za daljinski pristup Bounceru i njegovo istraživanje iznutra. Ono što su pronašli pokazuje da bi pametni autori zlonamjernog softvera i dalje mogli razvaliti vaš telefon.

Što Bouncer radi

Tijekom 2011. godine Google su mučili slučajevi Android malware iskorištavanje iskorištavanja u OS kodu. Što je bilo još gore, ponekad su te zlonamjerne aplikacije na kraju ušle na Android Market. Bilo je aplikacija koje su krale kontakte, pratile vaše pritiske tipki, pa čak i one koje su slale velike račune slanjem SMS-a s premium cijenama. Ovaj neukusni kôd obično je lebdio oko warez foruma, ali njegovo pojavljivanje u Trgovini Play nije bilo nečuveno.



Google PlayGoogle je oduvijek dopuštao programerima da prenose svoje aplikacije kako bi ih odmah učinili dostupnima. No kako je Android privlačio više pozornosti pogrešnih ljudi, bilo je jasno da nešto treba poduzeti.

Rezultat je bio Bouncer, ali Google je isprva odlučio o tome govoriti samo najopćenitije. Bouncer je dizajniran da doda novi sloj sigurnosti Androidu, a da programeri ne zahtijevaju dosadan postupak odobravanja koji vode pokuljani ljudi. Googleu je potrebna samo hladna učinkovitost automatiziranog stroja.

U najavi iz veljače tvrdilo se da je Bouncer nekoliko mjeseci tiho radio u pozadini, što je rezultiralo padom potencijalnih zlonamjernih aplikacija na tržištu za 40%. Kada se skeniranje završi, aplikacije za prosljeđivanje objavit će se na uobičajeni način. Programeri su morali trpjeti samo nekoliko minuta kašnjenja. U to se vrijeme činilo gotovo poput čarobnog metka.

Kao što sada saznajemo, zlonamjerni softver kojeg je Bouncer uništio mogao je biti slabo visi plod.

Kako Bouncer djeluje iznutra

Miller i Oberheide istražuju Market / Play Store već neko vrijeme pokušavajući saznati više o Bounceru. Istraživači su na kraju uspjeli zavirite u ubojicu neželjene pošte s posebno kodiranom Android aplikacijom dizajniranom da omogući daljinski pristup za Duo Security. Izbacivač je virtualni telefon koji se oponaša na Googleovom poslužitelju. Kad je Bouncer učitao trojansku aplikaciju, Miller i Oberheide mogli su putem naredbenog retka hraniti naredbe ljuske Bouncer. Tako su otkrivene Bouncerove tajne.

Sustav pokreće vrstu softvera za virtualizaciju pod nazivom QEMU, što je lako uočljiva zastavica koja aplikaciji može reći da radi na Bounceru. Račun koji se koristi za registraciju virtualnog telefona također je identičan, pružajući drugi jednostavan način odbacivanja otiska prsta. Google je postavio svaku instancu svog virtualnog telefona s pristupnim tačkama kako bi namamio zlonamjerni softver da radi ono što najbolje čini: krade stvari.

Izbacivač mačakaNa Bouncer telefonu nalaze se dvije slike; jedan od Lady Gage i jedan od mačaka. Ako se otkrije aplikacija koja te slike prenosi na udaljeni poslužitelj, Bouncer je brzim udarcem izbacuje kroz vrata. Isto tako, ako aplikacija pokuša prikupiti kontaktne podatke s telefona, što uključuje jedan unos za jednu Michelle.k.levin@gmail.com, i to pokreće aplikaciju. Izbacivač također nadzire uslugu SMS u slučaju da neka aplikacija pokušava poslati neovlaštene tekstualne poruke na premium brojeve.

Ne može se poreći da je ovo domišljat način traženja gadnih prijetnji, ali kako ističe Duo Security, napadači bi lako mogli pobijediti Bouncera u vlastitoj igri.

Kako se Bouncer može slomiti

Duo Security naučio je jednu važnu lekciju iz njihovog malog naleta na Bouncer: djeluje samo kada nitko ne zna njegov unutarnji rad. Kao što sam spomenuo, Miller i Oberheide smislili su nekoliko načina za uzimanje otisaka u Bouncerovoj okolini. To znači da je autor zlonamjernog softvera mogao izraditi modul koji suspendira zlonamjerno ponašanje na određeno vrijeme kada se otkrije Bouncer.

Bez da su išli tako daleko, autori zlonamjernog softvera mogli bi izbjeći otkrivanje igrajući ih cool. Izbacivač ne pokreće aplikacije u nedogled; zapravo će skenirati samo svaku aplikaciju koja se prenese otprilike 5 minuta prije nego što je proglasi sigurnom. Loši momci samo trebaju kratko vrijeme skrivati ​​svoje namjere kako bi izbjegli skener kakav sada postoji.

LjuskaAlternativno, zasjenjeni ljudi koji žele iskoristiti vaš telefon mogu samo učitati bezazlenu aplikaciju koja Bouncera prenosi u letećim bojama. Zatim se s vremenom mogu dodati komponente putem ažuriranja Trgovine Play koja omogućavaju neaktivne zlonamjerne značajke. Očito je da se radi o dugoj zabiti, ali za pravu isplatu možda se isplati.

Duo Security kaže da je bio u kontaktu s Googleom kako bi popravio ranjivosti. Neke stvari može se jednostavno popraviti, poput skeniranja aplikacija dulje vrijeme ili promjene zadanih podataka o računu. Ali druge će, poput lako uočljivog virtualiziranog okruženja, teže otvrdnuti od napada. Najbolje rješenje bilo bi pokretanje aplikacija na stvarnim uređajima, ali logistika bi to mogla onemogućiti.

Miller i Oberheide ponudit će cjeloviti demo hack-a na SummerConu kasnije ovog tjedna. Do tada, Google vjerojatno naporno radi na uklanjanju rupa u Bounceru kako bi se zaštitio od novog vala zlonamjernog softvera.

Copyright © Sva Prava Pridržana | 2007es.com