Video: I’m Pwned. You’re Pwned. We’re All Pwned - Troy Hunt (Listopad 2024)
Minulý měsíc v Black Hat jsme pod radarovým panelem bizarně zkontrolovali dramatický a nebezpečný nový potenciální potenciál Androidu. Naše zpráva vysvětlila, jak by tvůrci malwaru pro Android mohli získat úplný přístup a kontrolu nad vaším telefonem tím, že navrhnou aplikace, které využívají tajné a výkonné pluginy, které výrobci pečili do OS. V té době to byl spíše děsivý nápad než děsivá realita. Ale nyní, podle Ars Technica, alespoň jedna aplikace v typicky bezpečném obchodě Google Play tuto exploit využívá k obcházení uživatelských oprávnění a bezpečnostních skenů Google.
Certifi-gate
Během jejich panelu, Ohad Bobrov a Avi Bashan, vědci z bezpečnostní společnosti Check Point, kteří původně objevili chybu, vytvořili aplikaci baterky, aby demonstrovali svá zjištění. Aplikace použila oprávnění obvykle vyhrazená pro podpůrné aplikace, jako je TeamViewer, k zachycení obrazovky zařízení a simulaci vstupu uživatelů. Vytvořili mobilní trojský přístup pro vzdálený přístup v mobilním oděvu nástrojů pro vzdálenou podporu.
Bohužel, to, co kdysi bylo demo, které nás varovalo před budoucími událostmi, je nyní nejnovější skutečnou hrozbou pro váš telefon Android. Aplikace Android Recordable Activator použila metody popsané Bobrovem a Bashanem k získání znepokojivého množství přístupu k vašemu telefonu. Účelem aplikace bylo snadné zaznamenání obrazovky bez přístupu root. O tom není nic temného!
Bobrov a Bashan při své prezentaci udělali víc, než jen vystrašili již paranoidní účastníky Black Hat. Poskytli také odkaz na aplikaci Check Point Certifi-gate, která prohledá váš telefon a upozorní vás v případě zneužití zranitelného pluginu. Aplikace již má 100 000 uživatelů a Check Point analyzoval data od 30 000 uživatelů, aby zjistil riziko, které představuje zapisovatelný aktivátor.
Takové aplikace jsou nezbytné, protože uživatelé nemohou problém opravdu vyřešit. Zrušení certifikátu OEM, který umožňuje vykořisťování, by také zdělo telefon. Google si je tohoto problému vědom a vytáhl opravy. Navíc nadcházející Android 6.0 Marshmallow bude obsahovat vylepšený systém oprávnění. Fragmentace systému Hydra of Android však ztěžuje zjištění, kolik zařízení má stále potencionální potenciál. Zatím je nejlepší vsadit se na uživatele zdánlivě bezpečných aplikací, které tuto chybu zabezpečení využívají, a odstranit je dříve, než bude příliš pozdě.
Zůstaňte v bezpečí
Dobrou zprávou je, že problematická aplikace byla rychle odstraněna z obchodu Google Play poté, co ji Check Point označil za bezpečnostní riziko. Recordable Activator je však pravděpodobně první z mnoha aplikací, které využívají tohoto nebezpečného zneužití. A možná nebudeme schopni je všechny chytit.
Navzdory fatalistickému tónu nadpisu našeho původního článku existuje několik věcí, které můžete udělat, abyste zabránili tomu, aby se váš telefon dostal do stavu. Chcete-li se vyhnout nebezpečným aplikacím, můžete použít mobilní bezpečnostní aplikace od Check Point a dalších společností. A pokud si to můžete dovolit, můžete se vydat na novější, skladem Android telefon, jako je Nexus 6, který pravidelně přijímá aktualizace zabezpečení. Ale jak jsme již řekli dříve, pro příliš mnoho majitelů zařízení Android je váš systém Android zastavený a s tím nelze nic dělat.
