Koti Securitywatch Kiinalainen tutkija raportoi uudesta piilotetusta troijalaisen android-hyökkäyksestä

Kiinalainen tutkija raportoi uudesta piilotetusta troijalaisen android-hyökkäyksestä

Video: Kannattaako Kiinasta tilata älypuhelin? (Teknavi 2015) (Marraskuu 2024)

Video: Kannattaako Kiinasta tilata älypuhelin? (Teknavi 2015) (Marraskuu 2024)
Anonim

Android-sovelluksen troijaaminen haittakoodilla on naurettavan yksinkertaista. Käyttämällä laajasti saatavilla olevia työkaluja, kuka tahansa voi purkaa APK-tiedoston lähdekoodiinsa, lisätä haitallisen moduulin, säätää muutamaa käyttöoikeutta ja rekonstruoida uuden troijalaisen sovelluksen, joka näyttää aivan kuin vanha. Tämän sikarin havaitseminen on kuitenkin yksinkertainen asia sovelluksen digitaalisen allekirjoituksen tarkistamiseksi. Viime viikolla BlueBox Security -yrityksen tutkijat ilmoittivat kutsuneensa "pääavaimen" haavoittuvuuteen - tekniikkaan sovelluksen troijaamiseksi muuttamatta digitaalista allekirjoitusta. Tällä viikolla kiinalainen tutkija raportoi jälleen yhdestä tavasta piilottaa troijalaisen koodi.

Digitaalinen allekirjoitus ei ole rikki

Asiakirjan tai tiedoston digitaalisen allekirjoittamisen tarkoituksena on todistaa, että tiedostoa ei ole muokattu. Prosessissa käytetään eräänlaista julkisen avaimen salausta. Allekirjoitat tiedoston digitaalisesti salaamalla sen yksityisellä avaimella. Se, että salattu tiedosto voidaan salata julkisella avaimellasi, on osoitus siitä, että väärentämistä ei ole tapahtunut. Jos BlueBox olisi löytänyt tavan muokata tiedostoa tosiasiallisesti muuttamatta sen digitaalista allekirjoitusta, se olisi ollut uskomaton isku koko salausteollisuudelle. Mutta he eivät.

BlueBox raportoi tutkimuksensa yksityiskohdat Black Hat -konferenssissa muutamassa viikossa. ViaForensics-tutkija Pau Oliva Fora on kuitenkin lähettänyt todistuksen konseptikoodista, joka kuvaa käytettyä lähestymistapaa.

Itse asiassa se on hyvin, hyvin yksinkertainen. APK-tiedostot pakataan käyttämällä laajalle levinneen ZIP-arkistointialgoritmin versiota. Useimmat ZIP-toteutukset eivät salli kahta samannimistä tiedostoa yhdessä arkistossa, mutta algoritmi itsessään ei kiellä tätä mahdollisuutta. Tarkistettaessa sovelluksen digitaalista allekirjoitusta Android OS tarkastelee ensimmäistä vastaavaa tiedostoa, mutta tosiasiallisesti suorittaessaan ja käynnistäessäsi tiedoston se tarttuu viimeiseen . Sovelluksen troijaamiseksi sinun on siis pakotettava haittakoodisi siihen käyttämällä sovelluksella jo olevaa nimeä. Foorumin esittely on vain muutama tusina Java-koodiriviä.

Toinen rakennehyökkäys

Kiinalainen tutkija, joka blogoi Android Security Squad -tapahtumana, havaitsi mielenosoituksen mielenkiintoisena ja meni etsimään muita tapoja horjuttaa vahvistusprosessia. Google-käännetyn viestin lukeminen on hiukan vaikeaa, mutta näyttää siltä, ​​että hyökkäys perustuu Computer Science 101 -tason konseptiin.

Tietokoneohjelmat tallentavat laskurinumeroita kiinteän kokoisissa bittikokoelmissa. Esimerkiksi kahdeksalla bitillä voit edustaa numeroita välillä 0 - 255. Jos on välttämätöntä edustaa negatiivisia numeroita, pitkään käytetty tapa on, että vasemmanpuoleisin bitti ilmaisee negatiivisen luvun. Kahdeksalla bitillä voit sitten edustaa myös lukuja välillä -128 - 127. Binaarinumero 11111111 edustaa joko 255 vai -1, riippuen siitä, onko se tarkoitettu allekirjoittamattomana vai allekirjoitettuna numerona.

Android Security Squad pored APK-tiedoston otsikkomuodossa ja löysi tietokentän, jonka oletetaan olevan positiivinen poikkeama, mutta joka tallennetaan allekirjoitettuna kokonaislukuna. Tämän kentän pakottaminen tiettyyn negatiiviseen arvoon aiheuttaa APK-lataajan suorittamaan haittakoodin jo vahvistetun digitaalisesti allekirjoitetun koodin sijasta. OK, se on vähän monimutkaisempi, mutta suurin piirtein se toimii.

Pysy Google Playssa

Kumpikaan näistä hakkeroista ei oikeastaan ​​horjuttaa Androidin digitaalisen allekirjoituksen mekanismia. Pikemminkin he molemmat hyödyntävät APK-rakenteen virikkeitä tehdäkseen digitaalisesta allekirjoituksesta merkityksettömän. Kumpikaan niistä ei myöskään salli troijalaisen sovelluksen hiipiä Googlen analyysin ohi. Google on erityisesti päivittänyt Google Play -sovelluksen suodattamaan troijalaisia ​​sovelluksia "pääavaimen" hyökkäyksen avulla. jopa ilman tätä vaihetta, standarditurva estää melkein varmasti kummankin tyyppisen troijalaisen sovelluksen.

Oppitunti on selkeä. Hanki sovelluksesi aina laillisista lähteistä, tarkista aina, että kehittäjän nimi on kelvollinen, ja määritä puhelimesi niin, että se ei salli sovellusten asentamista "tuntemattomista lähteistä". Kiinnitä huomiota sovelluksen pyytämiin käyttöoikeuksiin ja ole valmis keskeyttämään epäilyttävän näköinen asennus. Jos operaattorisi tarjoaa Android-päivityksen, asenna se aina. Se on vain järkeä!

Kiinalainen tutkija raportoi uudesta piilotetusta troijalaisen android-hyökkäyksestä