9:27
5/6/2012

Jon Oberheide i Charlie Miller załatwili sobie shella na wirtualnych maszynach należących do Google. Wszystko za dzięki oszukaniu narzędzia Google Bouncer, które służy do skanowania aplikacji androidowych pod kątem złośliwego oprogramowania.

Shell na Google Bouncerze

Zadaniem Bouncera jest odpalanie w wirtualnym środowisku aplikacji (.apk) dodawanych do Google Play. Bouncer ma na celu obserwację potencjalnych anomalii w zachowaniu aplikacji, co w konsekwencji pozwala mu zatwierdzić lub odrzucić daną paczkę.

Oto krótki filmik prezentujący jak researcherzy dostają shella na maszynach Google, omijając zabezpieczenia Google Bouncera:

Powyższy film to zapowiedź wykładu na konferencji Summercon. Jak widać, atakujący jest w stanie dodać do Google Play złośliwą aplikację, która spawnuje remote shella na wirtualce QEMU wykorzystywanej przez Bouncera. Nie tylko Oberheid i Miller ominęli Bouncera.

No cóż, czytelnicy Niebezpiecznika powinni doskonale zdawać sobie sprawę, że programy antywirusowe da się obejść. Robak Flame jest świetnym tego przykładem — czas reakcji antywirusów? Kilka lat…

Przeczytaj także:

11 komentarzy

Dodaj komentarz
  1. Panowie muszą mieć niezłe banie! Kompletnie nic z tego nie rozumiem ;)

    • Teza, że Panowie mają “niezłe banie” jest łatwa do potwierdzenia, natomiast to, że nic Pan nie rozumiesz, jest od tezy niezależne :P

    • Hhhmmm… “Pan” się nazywa Mimi. :-)

  2. Chyba chodzi o to, że wcześniej przygotowana apka wrzucona do Google play zostaje odpalona i tym samym otwiera furtkę do maszyny na której Google testuje apki.

  3. Wszystko w normie. Bouncer symuluje androida – bez łączności z internetem kiepska to symulacja. Dodatkowo gdyby ta funkcjonalność była wyłączona Bouncer mógłby ominąć sporo malware’u – załóżmy że payload malware’a jest napisany w jakimś języku interpretowanym i zaszyfrowany żeby lepiej ukryć działanie. Malware zaczyna działać dopiero jak ściągnie się klucze z inernetu.

    Nie jest to więc włam – działa jak powinno. Problem w tym że w tej chwili określenie czy aplikacja chodzi na bouncerze czy fizycznym urządzeniu jest banalna.

    Jestem pewien że google zamaskuje bardziej oczywiste znaki – wtedy będzie mniej malware bo coderzy malware będą musieli bawić się w trochę bardziej skomplikowaną heurystykę żeby ustalić czy to bouncer czy nie.

  4. wkradł się mały błąd w pierwszym akapicie: “Wszystko _za_ dzięki…”

  5. Uff, a już myślałem, że się z maszyny wirtualnej wyłamali i mają shella w serwerowniach Google…

  6. “spawnuje remote shella na wirtualce”, dobre, bo polskie ;-).

    • “Tworzy proces zdalnego dostępu na emulatorze” nie brzmi dużo lepiej.

  7. pierd*** polaczki.
    nic sie nie umie, to trzeba sie do pisowni przypier….

  8. […] Jak zwykle, trojan udaje popularne aplikacje i można go spotkać w App Marketach dla Androida (tym razem jednak nie chodzi o Google Play). […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.