Вы используете устаревший браузер!

Страница может отображаться некорректно.

Туманность Андроида

Туманность Андроида

Другие выпуски этой рубрики (25)
  • добавить в избранное
    Добавить в закладки

Скромная новость

Прочитали: 16397 Комментариев: 48 Рейтинг: 67

18 июня 2019

Специалисты «Доктор Веб» постоянно работают над улучшением антивирусных продуктов Dr.Web. Наши читатели привыкли к новостям об обновлениях, которые выглядят рутиной. Но довольно часто за скромной новостью об улучшении стоит значительное укрепление безопасности пользователей.

В новую версию приложения внесены следующие улучшения:

  • Улучшено обнаружение признаков заражения в ранее установленных приложениях.
  • Добавлено обнаружение зараженных приложений, упакованных Bangcle, Secshell и новой версией Tencent.

Такой новостью мы сопроводили очередное обновление Антивируса Dr.Web для Android Light (до версии 11.2.2). Казалось бы, что интересного в информации об улучшении анализа ранее установленных приложений? А на самом деле мы закрыли весьма интересный баг (не наш)!

Как известно, роль расширений файлов в операционных системах Windows, c одной стороны, и Linux и Android, с другой, совершенно различна. В ОС Windows расширения определяют, какое приложение будет обрабатывать файл с определенным расширением. Хотя, естественно, после начала обработки файл все равно будет проанализирован на возможность его обработки. Грубо говоря, если вы переименуете файл exe в файл txt, то запустить его, конечно, можно, но сделать это будет сложнее. В иных ОС расширение может использоваться, но играет для пользователя в большей степени информационную роль. Открываемый/запускаемый файл анализируется системой, и в зависимости от результатов анализа его структуры для него подбирается приложение, которое будет его обрабатывать.

И еще один факт. Как известно, файлы могут подписываться. Но зачастую подписывается не весь файл, а его часть. Цели могут быть разными. Например, если файл большой, то подсчет контрольной суммы может занять много времени. Или часть файла несет важные данные – их мы и подписываем, а информационная часть файла содержит данные о содержимом и может формироваться уже после подписания.

Берем эти два факта, смешиваем и получаем уязвимость CVE-2017-13156, получившую собственное имя Janus. Она дает злоумышленнику возможность внедрять в приложения вредоносный код, не затронув подписанную часть файла.

Киберпреступники не могли упустить такую великолепную возможность, и скоро появился троянец, который умеет заражать установленные приложения с использованием упомянутой уязвимости.

Архитектура Android подразумевает, что все разработчики должны подписывать свои приложения. При установке обновлений система проверяет их цифровую подпись, и, если она совпадает с уже имеющейся версией, обновление устанавливается.

Уязвимость Janus позволяет внедрить в файл APK, представляющий собой архив, модифицированный исполняемый файл DEX, не оказывающий влияния на цифровую подпись. Иными словами, с использованием Janus злоумышленники могут подменить исполняемый файл приложения вредоносной копией с сохранением всех имевшихся у оригинального файла системных разрешений. И он будет беспрепятственно установлен и запущен на уязвимом устройстве.

Уязвимости подвержены только приложения, использующие цифровую подпись на основе JAR, которая в Android 7.0 Nougat была заменена новой технологией Signature Scheme v2. В новых версиях Android уязвимы только приложения, не использующие актуальную технологию цифровой подписи, а также программы, загруженные и установленные не из официального каталога Google Play. Уязвимыми являются следующие версии ОС Android: 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0.

Источник

Почему Янус? Потому что у него много лиц.

Файл APK, используемый в Android, содержит внутри архивы zip и произвольные байты в начале, перед zip-записями и между ними. Подпись JAR учитывает только внутренние архивы zip, но не дополнительные байты. Файл DEX же может содержать произвольные байты в конце. Думаем, схема понятна: файл может быть одновременно и файлом APK, и файлом DEX!

Теоретически, среда выполнения Android загружает файл APK, извлекает его DEX-файл и затем запускает его код. На практике виртуальная машина может загружать и выполнять как файлы APK, так и файлы DEX. Когда он получает файл APK, он все еще смотрит на магические байты в заголовке, чтобы решить, какой тип файла он есть. Если он находит заголовок DEX, он загружает файл как файл DEX. В противном случае он загружает файл как файл APK, содержащий запись zip с файлом DEX.

Источник

Как эту уязвимость могут использовать злоумышленники?

Когда пользователь загружает обновление приложения, среда выполнения Android сравнивает свою подпись с подписью исходной версии. Если совпадают подписи, среда выполнения Android продолжает установку обновления. Обновленное приложение наследует разрешения исходного приложения. Поэтому злоумышленники могут использовать уязвимость Janus, чтобы ввести в заблуждение процесс обновления и получить непроверенный код с мощными разрешениями, установленными на устройствах ничего не подозревающих пользователей.

Злоумышленник может заменить доверенное приложение с высокими привилегиями (например, системным приложением) измененным обновлением, чтобы злоупотреблять его разрешениями. В зависимости от целевого приложения это может позволить хакеру получить доступ к конфиденциальной информации, хранящейся на устройстве, или даже полностью захватить устройство. В качестве альтернативы злоумышленник может передать модифицированный клон чувствительного приложения в качестве законного обновления, например, в контексте банковского дела или связи. Клонированное приложение может выглядеть и вести себя как оригинальное приложение, но вводить вредоносное поведение.

Для загрузки же вредоносного кода используется CVE-2017-13315 – одна из уязвимостей группы EvilParcel. Расскажем о ней подробнее в следующем выпуске.

#Android #мобильный #цифровая_подпись #уязвимость #эксплойт #обновления_безопасности

Антивирусная правДА! рекомендует

Если Антивирус Dr.Web для Android обнаружил наличие данной уязвимости, рекомендуется обратиться к производителю устройства для получения соответствующих обновлений операционной системы.

Источник

Устанавливайте обновления!

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Комментарии к другим выпускам | Мои комментарии