Вы используете устаревший браузер!

Страница может отображаться некорректно.

Туманность Андроида

Туманность Андроида

Другие выпуски этой рубрики (24)
  • добавить в избранное
    Добавить в закладки

Скромная новость

Прочитали: 3074 Комментариев: 48 Рейтинг: 66

Специалисты «Доктор Веб» постоянно работают над улучшением антивирусных продуктов Dr.Web. Наши читатели привыкли к новостям об обновлениях, которые выглядят рутиной. Но довольно часто за скромной новостью об улучшении стоит значительное укрепление безопасности пользователей.

В новую версию приложения внесены следующие улучшения:

  • Улучшено обнаружение признаков заражения в ранее установленных приложениях.
  • Добавлено обнаружение зараженных приложений, упакованных Bangcle, Secshell и новой версией Tencent.

Такой новостью мы сопроводили очередное обновление Антивируса Dr.Web для Android Light (до версии 11.2.2). Казалось бы, что интересного в информации об улучшении анализа ранее установленных приложений? А на самом деле мы закрыли весьма интересный баг (не наш)!

Как известно, роль расширений файлов в операционных системах Windows, c одной стороны, и Linux и Android, с другой, совершенно различна. В ОС Windows расширения определяют, какое приложение будет обрабатывать файл с определенным расширением. Хотя, естественно, после начала обработки файл все равно будет проанализирован на возможность его обработки. Грубо говоря, если вы переименуете файл exe в файл txt, то запустить его, конечно, можно, но сделать это будет сложнее. В иных ОС расширение может использоваться, но играет для пользователя в большей степени информационную роль. Открываемый/запускаемый файл анализируется системой, и в зависимости от результатов анализа его структуры для него подбирается приложение, которое будет его обрабатывать.

И еще один факт. Как известно, файлы могут подписываться. Но зачастую подписывается не весь файл, а его часть. Цели могут быть разными. Например, если файл большой, то подсчет контрольной суммы может занять много времени. Или часть файла несет важные данные – их мы и подписываем, а информационная часть файла содержит данные о содержимом и может формироваться уже после подписания.

Берем эти два факта, смешиваем и получаем уязвимость CVE-2017-13156, получившую собственное имя Janus. Она дает злоумышленнику возможность внедрять в приложения вредоносный код, не затронув подписанную часть файла.

Киберпреступники не могли упустить такую великолепную возможность, и скоро появился троянец, который умеет заражать установленные приложения с использованием упомянутой уязвимости.

Архитектура Android подразумевает, что все разработчики должны подписывать свои приложения. При установке обновлений система проверяет их цифровую подпись, и, если она совпадает с уже имеющейся версией, обновление устанавливается.

Уязвимость Janus позволяет внедрить в файл APK, представляющий собой архив, модифицированный исполняемый файл DEX, не оказывающий влияния на цифровую подпись. Иными словами, с использованием Janus злоумышленники могут подменить исполняемый файл приложения вредоносной копией с сохранением всех имевшихся у оригинального файла системных разрешений. И он будет беспрепятственно установлен и запущен на уязвимом устройстве.

Уязвимости подвержены только приложения, использующие цифровую подпись на основе JAR, которая в Android 7.0 Nougat была заменена новой технологией Signature Scheme v2. В новых версиях Android уязвимы только приложения, не использующие актуальную технологию цифровой подписи, а также программы, загруженные и установленные не из официального каталога Google Play. Уязвимыми являются следующие версии ОС Android: 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0.

Источник

Почему Янус? Потому что у него много лиц.

Файл APK, используемый в Android, содержит внутри архивы zip и произвольные байты в начале, перед zip-записями и между ними. Подпись JAR учитывает только внутренние архивы zip, но не дополнительные байты. Файл DEX же может содержать произвольные байты в конце. Думаем, схема понятна: файл может быть одновременно и файлом APK, и файлом DEX!

Теоретически, среда выполнения Android загружает файл APK, извлекает его DEX-файл и затем запускает его код. На практике виртуальная машина может загружать и выполнять как файлы APK, так и файлы DEX. Когда он получает файл APK, он все еще смотрит на магические байты в заголовке, чтобы решить, какой тип файла он есть. Если он находит заголовок DEX, он загружает файл как файл DEX. В противном случае он загружает файл как файл APK, содержащий запись zip с файлом DEX.

Источник

Как эту уязвимость могут использовать злоумышленники?

Когда пользователь загружает обновление приложения, среда выполнения Android сравнивает свою подпись с подписью исходной версии. Если совпадают подписи, среда выполнения Android продолжает установку обновления. Обновленное приложение наследует разрешения исходного приложения. Поэтому злоумышленники могут использовать уязвимость Janus, чтобы ввести в заблуждение процесс обновления и получить непроверенный код с мощными разрешениями, установленными на устройствах ничего не подозревающих пользователей.

Злоумышленник может заменить доверенное приложение с высокими привилегиями (например, системным приложением) измененным обновлением, чтобы злоупотреблять его разрешениями. В зависимости от целевого приложения это может позволить хакеру получить доступ к конфиденциальной информации, хранящейся на устройстве, или даже полностью захватить устройство. В качестве альтернативы злоумышленник может передать модифицированный клон чувствительного приложения в качестве законного обновления, например, в контексте банковского дела или связи. Клонированное приложение может выглядеть и вести себя как оригинальное приложение, но вводить вредоносное поведение.

Для загрузки же вредоносного кода используется CVE-2017-13315 – одна из уязвимостей группы EvilParcel. Расскажем о ней подробнее в следующем выпуске.

#Android #мобильный #цифровая_подпись #уязвимость #эксплойт #обновления_безопасности

Dr.Web рекомендует

Если Антивирус Dr.Web для Android обнаружил наличие данной уязвимости, рекомендуется обратиться к производителю устройства для получения соответствующих обновлений операционной системы.

Источник

Устанавливайте обновления!

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей