Скромная новость
18 июня 2019
Специалисты «Доктор Веб» постоянно работают над улучшением антивирусных продуктов Dr.Web. Наши читатели привыкли к новостям об обновлениях, которые выглядят рутиной. Но довольно часто за скромной новостью об улучшении стоит значительное укрепление безопасности пользователей.
В новую версию приложения внесены следующие улучшения:
- Улучшено обнаружение признаков заражения в ранее установленных приложениях.
- Добавлено обнаружение зараженных приложений, упакованных Bangcle, Secshell и новой версией Tencent.
Такой новостью мы сопроводили очередное обновление Антивируса Dr.Web для Android Light (до версии 11.2.2). Казалось бы, что интересного в информации об улучшении анализа ранее установленных приложений? А на самом деле мы закрыли весьма интересный баг (не наш)!
Как известно, роль расширений файлов в операционных системах Windows, c одной стороны, и Linux и Android, с другой, совершенно различна. В ОС Windows расширения определяют, какое приложение будет обрабатывать файл с определенным расширением. Хотя, естественно, после начала обработки файл все равно будет проанализирован на возможность его обработки. Грубо говоря, если вы переименуете файл exe в файл txt, то запустить его, конечно, можно, но сделать это будет сложнее. В иных ОС расширение может использоваться, но играет для пользователя в большей степени информационную роль. Открываемый/запускаемый файл анализируется системой, и в зависимости от результатов анализа его структуры для него подбирается приложение, которое будет его обрабатывать.
И еще один факт. Как известно, файлы могут подписываться. Но зачастую подписывается не весь файл, а его часть. Цели могут быть разными. Например, если файл большой, то подсчет контрольной суммы может занять много времени. Или часть файла несет важные данные – их мы и подписываем, а информационная часть файла содержит данные о содержимом и может формироваться уже после подписания.
Берем эти два факта, смешиваем и получаем уязвимость CVE-2017-13156, получившую собственное имя Janus. Она дает злоумышленнику возможность внедрять в приложения вредоносный код, не затронув подписанную часть файла.
Киберпреступники не могли упустить такую великолепную возможность, и скоро появился троянец, который умеет заражать установленные приложения с использованием упомянутой уязвимости.
Архитектура Android подразумевает, что все разработчики должны подписывать свои приложения. При установке обновлений система проверяет их цифровую подпись, и, если она совпадает с уже имеющейся версией, обновление устанавливается.
Уязвимость Janus позволяет внедрить в файл APK, представляющий собой архив, модифицированный исполняемый файл DEX, не оказывающий влияния на цифровую подпись. Иными словами, с использованием Janus злоумышленники могут подменить исполняемый файл приложения вредоносной копией с сохранением всех имевшихся у оригинального файла системных разрешений. И он будет беспрепятственно установлен и запущен на уязвимом устройстве.
Уязвимости подвержены только приложения, использующие цифровую подпись на основе JAR, которая в Android 7.0 Nougat была заменена новой технологией Signature Scheme v2. В новых версиях Android уязвимы только приложения, не использующие актуальную технологию цифровой подписи, а также программы, загруженные и установленные не из официального каталога Google Play. Уязвимыми являются следующие версии ОС Android: 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0.
Почему Янус? Потому что у него много лиц.
Файл APK, используемый в Android, содержит внутри архивы zip и произвольные байты в начале, перед zip-записями и между ними. Подпись JAR учитывает только внутренние архивы zip, но не дополнительные байты. Файл DEX же может содержать произвольные байты в конце. Думаем, схема понятна: файл может быть одновременно и файлом APK, и файлом DEX!
Теоретически, среда выполнения Android загружает файл APK, извлекает его DEX-файл и затем запускает его код. На практике виртуальная машина может загружать и выполнять как файлы APK, так и файлы DEX. Когда он получает файл APK, он все еще смотрит на магические байты в заголовке, чтобы решить, какой тип файла он есть. Если он находит заголовок DEX, он загружает файл как файл DEX. В противном случае он загружает файл как файл APK, содержащий запись zip с файлом DEX.
Как эту уязвимость могут использовать злоумышленники?
Когда пользователь загружает обновление приложения, среда выполнения Android сравнивает свою подпись с подписью исходной версии. Если совпадают подписи, среда выполнения Android продолжает установку обновления. Обновленное приложение наследует разрешения исходного приложения. Поэтому злоумышленники могут использовать уязвимость Janus, чтобы ввести в заблуждение процесс обновления и получить непроверенный код с мощными разрешениями, установленными на устройствах ничего не подозревающих пользователей.
Злоумышленник может заменить доверенное приложение с высокими привилегиями (например, системным приложением) измененным обновлением, чтобы злоупотреблять его разрешениями. В зависимости от целевого приложения это может позволить хакеру получить доступ к конфиденциальной информации, хранящейся на устройстве, или даже полностью захватить устройство. В качестве альтернативы злоумышленник может передать модифицированный клон чувствительного приложения в качестве законного обновления, например, в контексте банковского дела или связи. Клонированное приложение может выглядеть и вести себя как оригинальное приложение, но вводить вредоносное поведение.
Для загрузки же вредоносного кода используется CVE-2017-13315 – одна из уязвимостей группы EvilParcel. Расскажем о ней подробнее в следующем выпуске.
#Android #мобильный #цифровая_подпись #уязвимость #эксплойт #обновления_безопасности
Антивирусная правДА! рекомендует
Если Антивирус Dr.Web для Android обнаружил наличие данной уязвимости, рекомендуется обратиться к производителю устройства для получения соответствующих обновлений операционной системы.
Устанавливайте обновления!
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Lia00
02:55:05 2019-06-20
SGES
01:37:58 2019-06-19
Бережливость лучше прибытка.
Andromeda
23:00:06 2019-06-18
Альфа
22:56:49 2019-06-18
anatol
20:14:22 2019-06-18
Геральт
19:56:47 2019-06-18
Шалтай Александр Болтай
19:45:49 2019-06-18
Toma
19:30:54 2019-06-18
razgen
19:20:37 2019-06-18
Татьяна
17:21:07 2019-06-18
Lex
16:16:26 2019-06-18
I46
15:58:20 2019-06-18
Lenba
15:54:41 2019-06-18
Masha
15:34:25 2019-06-18
Zserg
15:29:01 2019-06-18
I23
15:14:49 2019-06-18
vinnetou
14:08:52 2019-06-18
vinnetou
13:54:53 2019-06-18
sanek-xf
12:34:29 2019-06-18
Natalya_2017
12:28:19 2019-06-18
Dmur
12:10:51 2019-06-18
dyadya_Sasha
12:09:26 2019-06-18
kr0l1k
11:53:51 2019-06-18
maestro431
11:16:36 2019-06-18
Вячeслaв
10:44:49 2019-06-18
Oleg
10:43:13 2019-06-18
robot
10:36:37 2019-06-18
dyadya_Sasha
10:35:16 2019-06-18
"...Если Антивирус Dr.Web для Android обнаружил наличие данной уязвимости, рекомендуется обратиться к производителю..."
Как всегда - молодцы, но осталось чувство неопределенности.
@admin "Закрыть бак" в данном случае это обнаружить наличие данной уязвимости или обезвредить зловредов воспользовавшихся ею? Или и то и другое вместе взятое?
vkor
10:20:13 2019-06-18
Ждем следующий выпуск.
EvgenyZ
10:18:49 2019-06-18
DrKV
10:11:21 2019-06-18
Вот чувствую - Dr.WebSS для Android всему виной! Он ему жизнь продлевает! )))
Но я не расстраиваюсь, лучше со старым смартфоном и Dr.Web на борту, чем с новым и без Dr.Web!
ONरब
09:41:46 2019-06-18
В особенности не=душным сотрудникам!
orw_mikle
09:14:07 2019-06-18
Ilya
09:11:04 2019-06-18
Alexander
08:49:45 2019-06-18
С интересом почитал о баге-уязвимости Janus. Это как несколько складских помещений на огороженной территории, из которых лишь одно на хорошем цифровом замке, именно, в котором и хранится важная часть файла. А остальные помещения лишь прикрыты хлипкими воротами, - заходи, кто хошь и меняй детали на подделку. А как из всех составляющих будет собрано оборудование (программа), так там уже и будет сидеть "привет" от Janus.
Благо, что Dr.Web Security Space этот недосмотр производителей ОС узрел и умеет этот Janus нейтрализовать...
P.S. Хорошая статья... и в том числе подвигла меня на проверку и обновление ОС смартфона… и скажу, вовремя…
Неуёмный Обыватель
08:10:42 2019-06-18
cruise
08:08:54 2019-06-18
Интересно найдет ли паук чего?
Денисенко Павел Андреевич
07:55:18 2019-06-18
Vlad X
07:06:37 2019-06-18
телефонов изначально заражены при производстве.
Наверно до сих пор в продаже.
Пaвeл
07:05:51 2019-06-18
Sasha50
07:00:22 2019-06-18
Любитель пляжного футбола
06:53:14 2019-06-18
Korney
06:15:37 2019-06-18
ka_s
06:02:22 2019-06-18
tigra
05:13:18 2019-06-18
Morpheus
05:06:42 2019-06-18
tigra
04:44:39 2019-06-18
L1t1um
04:25:07 2019-06-18