13:58
11/8/2015

Na konferencji USENIX badacze z IBM przedstawili ciekawy atak na telefony pracujące pod kontrolą systemu Android (od 4.3 do 5.1). Przy jego pomocy atakujący, którym uda się zmusić użytkownika do zainstalowania swojej “niewinnej” aplikacji, mogą po po cichu podnieść jej uprawnienia i przejąć kontrolę nad całym telefonem.

Screen Shot 2015-08-11 at 13.48.53

Problem dotyczy 55% telefonów z Androidem a za błąd odpowiedzialna jest klasa OpenSSLX509Certificate, która pozwala na podniesienie uprawnień aplikacji do poziomu uprawnień systemowych. Ponieważ do wykonania ataku wymagany jest niewielki fragment kodu, badacze twierdzą, że atakujący mogą hostować swoje złośliwe aplikacje (ale wyglądające na “niewinne”) w Google Play. Niewinność należy rozumieć jako brak próśb o jakiekolwiek uprawnienia podczas instalacji.

Przykład ataku

Podany przez badaczy scenariusz ataku jest następujący. Ofiara instaluje niewinną aplikację, która nie prosi o żadne uprawnienia. Po uruchomieniu, aplikacja robi swoje (np. jest grą) ale w tle następuje eskalacja przywilejów i pobranie złośliwego .apk. Doinstalowana w ten sposób aplikacja nadpisuje inną, już obecną na telefonie ofiary (np. Facebooka) ale pełni rolę trojana (podgląda przez kamerę, wykrada dane, podsłuchuje przez mikrofon).

Badacze już podzielili się szczegółami swojego znaleziska z Google, a firma wydała patcha. Oczywiście, jak to zwykle w przypadku Androida, to czy patch do Was spłynie często zależy od producenta Waszego telefonu i/lub operatora sieci GSM.

Przeczytaj także:

39 komentarzy

Dodaj komentarz
  1. Pora wypieprzyc dziadowskie androidy i zamienic na bezpieczne iphony.

    • Hehehehe…. Nie!

    • Wolę stare nokie. Na nie już się exploitów nie pisze, a poza tym te stare mają niewiele pamięci. Jak ktoś wrzuci exploita to nie będzie miejsca na smsy – użytkownik się zorientuje, że nie halo.

  2. Mam Androida co robić jak żyć?

    Poważnie zastanawiam się nad powrotem do starych głupich ‘telefonów’.

    3 na 4 androidy w moim domu nie dostają aktualizacji od producenta/telkomu.
    1 na 1 iOS w moim domu już dawno jest po okresie supportu.

    Czy zostaje mi tylko wgranie moda (cyanogen) i ryzyko, że sprzęt nie będzie poprawnie działał?

    Podchodząc teraz do zakupu telefonu co wybierać? Smartfony powoli zaczynają mnie przerażać.

    • Albo Nexus, albo flagowce. Czyli drogo.

    • Zainstalowałem najnowszego CM12.1 z Androidem 5.1 na telefonie z początku 2011 roku – działa płynnie, zużycie baterii jest ok, a bezpieczeństwo wyższe.

      Nie miałem problemów z działaniem kamery i innych rzeczy więc ktokolwiek pisząc, że CM to zło konieczne chyba nigdy nie próbował tego custom ROM’a :)

    • Jeszcze są Motorole, też dostają długo aktualizacje.

    • Także polecam Cyanogenmod. Straszenie odebraniem gwarancji i nieprawidłowym działaniem telefonu ma na celu zniechęcenie do wyrwania się ze szponów szpiegostwa danych na rzecz większych zysków korporacji.
      Mam Cyanogena i nie narzekam, działa bardzo dobrze.
      Co prawda aplikacji (tych wolnych ze strony f-droid) jest niewiele i zdarza się, że niektóre nie działają, ale większość jest naprawdę dobrze zrobiona.

    • Ja polecam Blackberry z systemem BB10.

  3. Nexus 5 wczoraj coś przyszło.

  4. Ostatnio sporo rozgłosu jest nt. dziur i innego rodzaju świństw na Androida. Pytanie – jak się mają do tego anty(ś)wirusy androidowe? Czy w ogóle jest sens wydawać raz do roku 50zł na takiego ESET’a?

    • To bardzo dobre pytanie, również interesuje mnie odpowiedź na to pytanie – mógłby ktoś doświadczony się wypowiedzieć? :)

    • W temacie antywirusów na androida, moim zdaniem, krótko: niewielki sens. To raczej snakeoil.

      Trochę obszerniej: jest kilka czynników które trzeba wziąć pod uwagę:
      1. Aplikacje na androidzie nie mają wielkich możliwości interakcji, antywirus jest więc ograniczony do korzystania z sygnatur – jego twórcy analizują aplikację offline i jeżeli jakąś rozpoznają jako szkodliwą, informują. Heurystyka antywirusów androidowych jest raczej uboga.
      2. Aplikacje w sklepie google są sprawdzane przez bouncera (o którego skuteczności było btw. kilka artykułów na Niebezpieczniku :)), jest więc niewielka szansa że antywirus rozpozna tam aplikację o której nie wie google.
      3. Począwszy chyba od androida 4.0 ta funkcjonalność dotyczy także aplikacji spoza sklepu (jest nawet opcja w zabezpieczeniach), więc usługi google dają porównywalną skuteczność.

      To powiedziawszy, antywirusy na androida mają czasem kilka przydatnych funkcji w jednej aplikacji: czarną liste połączeń, podstawową kontrolę spoofingu wifi (niezabezpieczona sieć & zmiana DNS). Niektóre potrafią także robić za aplikację odbierającą sms i wtedy mogą filtrować wiadomości pod kątem znanych podatności, np. reset telefonu przez znak specjalny na telefonach z procesorem Cortex :)
      Czasem potrafią zastąpić przeglądarkę internetową, co jest sporym zyskiem dla używających systemowej (zamiast chrome/firefoxa). Funkcjonalności odnajdywania/blokowania telefonu nie liczę bo dubluje ona android managera.

      Kilka darmowych antywirusów na androida oferuje powyższe funkcje – mogą więc trochę pomóc, szczególnie na starszych systemach. Tak poza tym, zysk z antywirusa jest raczej psychologiczny.

      A może ktoś uważa inaczej? :)

    • To jest kropla w morzu. Większość osób zapomina, że sposób komunikowania użytkownikom uprawnień został w nowszych Androidach uproszczony (czytaj jeszcze mniej wiadomo do czego aplikacja otrzyma uprawnienia), a jeszcze większa ilość jest przyzwyczajona, że aplikacje w większości wykorzystują chociażby dostęp do karty pamięci (pełen dostęp, bez żadnego sandboksa)i bez cienia wahania takie aplikacje instaluje z poczuciem zupełnego braku zagrożenia.

  5. To wcale nie jest dziura, a Google wstawilo ten fasynujacy i wielce uzytaczny feature dopiero jak mielismy nakaz sadowy.

    Nic to, wstawimy co inne… i znowu minie pare lat zanim znajda :)

  6. Przeszło mi do głowy 1 chyba nie praktyczne rozwiązanie: od teraz każdą nowo wgraną aplikację trzeba używać na smartfonie z wyłączonym/zablokowanym internetem. Wtedy potencjalnie szkodliwa aplikacja nie zdoła pobrać i zainstalować tej jeszcze gorszej, która potencjalnie mogłaby wykonać niekorzystne działania dla użytkownika.

    • Bang, po bluetooth na słuchawkę bezprzewodową, bang z słuchawki BT do systemu multimedialnego samochodu, bang po GSM z samochodu do internetu. I z powortem :D

    • @Piotr A jak położę obok telefonu stacjonarnego to używając głośnika i mikrofonu zasymuluje modem i też się z siecią połączy ;)

    • Parafrazujac Piotra:
      bang sms premium
      albo
      bang ksiazka adresowa, bang sms do atakujacego z kontaktami
      albo
      bang aparat, bang mms

      pewnie jeszcze pare “bang” by sie znalazlo

    • Bang! Firewall + XPrivacy i tyle w temacie! :P

  7. Z deszczu pod rynnę…

    “Oczywiście, jak to zwykle w przypadku Androida, to czy patch do Was spłynie często zależy od producenta Waszego telefonu i/lub operatora sieci GSM.”

    I właśnie za to bardzo lubię środowisko Windows/Windows Phone. Operatorzy nie mają nic do gadania w kwestii aktualizacji, a producent tylko wtedy, gdy się gryzie z driverami.

    • Niet. Kazam już zapowiedział, że część (wszystkie?) urządzenia tej firmy zostaną pozbawione aktualizacji do W10. Jasne – operator nie miesza, ale pomieszać zawsze może producent.
      Sam mam Lumię 735 i się cieszę.

    • Idąc tym tokiem rozumowania to najlepiej iPhone – jeden producent sprzętu, jeden dostawca softu, jedna firma zatwierdzająca soft wchodzący do iStore’a…

    • W sumie też się ostatnio przerzuciłem z tego powodu na Lumię. Bo miałem już dość faktu, że operator ma gdzieś łatania kluczowych dziur w bezpieczeństwie.

    • Z tym Windows Phone to też tak nie do końca. Operator ma wpływ na dystrybucję systemu. Popatrz tylko jakie były opóźnienia z dystrybujcą cyana czy też obecnego denima. Niektóre warianty telefonów w Europie do tej pory siedzą na cyan’ce. Podobno wraz z Windows 10 Mobile ma to się zmienić i operator ma utracić możliwość opóźnienia update’u; no ale to wciąż niepewna sprawa.

    • elathir owszem aktualizacji sporo, ale gdy najnowsze Lumie będą mieć windowsa 10 to będziesz skazany na płatne aktualizacje…

  8. Jak czytam te wszystkie “nowinki” to śmiech mnie ogarnia.
    Jako administrator starej daty używam SE K800i.
    Tak, nie odbieram MMS i mój telefon nie posiada wielu innych “użytecznych” funkcji, ale wychodzę z założenia, że telefon ma służyć do dzwonienia i wysyłania/odbierania SMS. :)
    Przy tak wielkim zainteresowaniu systemem jakim jest Android, pewnym było, że tak wielka ilość potencjalnych ofiar nie pozostanie niezauważona przez podziemie…

    • Oczywiscie, ze telefon powinien sluzyc tylko do dzwonienia, ale ja potrzebuje urzadzenia do dzwonienia, przesylania zaszyfrowanych sms, robienia zdjec, przegladania internetu, zdlanego nadzoru kamer w domu i sterowania systemami w domu. Nie bede nosil plecaka na telefon, aparat, kamere, laptopa, modem, router itd.

    • Podbijam stawkę SE k550i potrzebny do rozmów /SMS. O dziwo internet jest w miarę użyteczny opera mini da radę czytać Niebezpiecznik :) lub sprawdzić coś na szybko.

  9. Widzę, że Android wkrótce sam się ubije. I dobrze, w końcu.

    Pisane z Androida.

    • Mylne założenia. Jeśli luki zostały wykryte, to zostaną załatane, więc to są plusy Androida – nie minusy, bo każda wykryta luka zbliża soft do perfekcji. Ile jest takich luk w iOS lub Windows? Któż to wie… ;)

    • a ja mam nadzieję że Android będzie istniał wiecznie, bo to obecnie jedyny popularny otwarty system mobilny.
      BTW. Wczoraj dostałem świeżutką (jeszcze ciepłą) aktualizację z łatkami na ostatnie dziury, Nexus 5.

  10. Windows Phone – Microsoft Lumia

  11. dlaczego nie piszecie nic o narzędziach sprawdzających podatność na to zagrożenie? Są już takie?

  12. Polecam BlackBerry nie ma złośliwego oprogramowania, a apki z Androida chodza w trybie emulowanym. Nawet jak sie trafi jakis atak, to pozostanie tylko w swiecie Androida a BlackBerry nie ruszy.

    Pisane z Passporta

    • BB nie jest bezpieczny To juz nie sa czasy, kiedy system byl stabilnyy (dbajacy o uzytkownika). Obecnie BB10 z kazda aktualizacja jest nieprzywidywalny. :((( Niestety sam go uzywam. Przewaga BB nad A. to jakosc wykonania i klawiatura (nie kazdy lubi klawiature). Jesli chodzi o bezpieczenstwo, to duzo nie ma co pisac. System jest zamkniety, nie ma openvpn-a, BBM i PIN jest szyfrowany tym samym kluczem w kazdym telefonie.
      BB jest tylko w porzadku, jesli ktos ma usluge BlackBerry Enterprise. Raczej tylko duze firmy ze wzgledu na koszty. W innym wypadku jest mniej bezpieczny od Iphone-a.

  13. blackberry :)

  14. Czy to przypadkiem nie jest ideanly sposób na roota każdego fona???

  15. No bo jak ktos uzywa javy do openssl’a to co tu sie dziwic???

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.