Если хочешь быть здоров – обновляйся
19 июня 2019
Еще одна новость об обновлении в продуктах Dr.Web: на этот раз об изменениях в Dr.Web Security Space для Android, вошедших в версию 12.3.2. В эту версию также вошли методы противодействия уязвимости Janus (CVE-2017-13156), но речь сейчас не о ней.
- Добавлено обнаружение уязвимостей EvilParcel
Напомним, что уязвимость Janus, о которой мы рассказывали в выпуске «Скромная новость», позволяла злоумышленникам модифицировать подписанный файл благодаря тому, что подпись файла проверялась только для ее части. Киберпреступники, конечно, начали эту уязвимость использовать, а вот установка зараженных приложений без подтверждения пользователя стала возможной благодаря уязвимости CVE-2017-13315, относящейся к вышеупомянутой группе уязвимостей EvilParcel.
По классификации «Доктор Веб», это Android.Janus.
EvilParcel – группа схожих по принципу действия уязвимостей, использующих ошибку, из-за которой при обмене данными между приложениями и операционной системой возможно изменение этих данных. Если злоумышленник особым образом сформирует массив передаваемых данных, их значение после чтения будет отличаться от первоначального.
Известные уязвимости этого типа:
CVE-2017-0806 (ошибка в классе GateKeeperResponse), опубликована в октябре 2017 г.;
CVE-2017-13286 (ошибка в классе OutputConfiguration, опубликована в апреле 2018 г.;
CVE-2017-13287 (ошибка в классе VerifyCredentialResponse), опубликована в апреле 2018 г.;
CVE-2017-13288 (ошибка в классе PeriodicAdvertizingReport), опубликована в апреле 2018 г.;
CVE-2017-13289 (ошибка в классе ParcelableRttResults), опубликована в апреле 2018 г.;
CVE-2017-13311 (ошибка в классе SparseMappingTable), опубликована в мае 2018 г.;
CVE-2017-13315 (ошибка в классе DcParamObject), опубликована в мае 2018 г.
Как всё работает.
Приложения могут обмениваться данными. И вполне логично, что если внутри программы используемые данные – это изображения, структуры, код и т. д., то есть структурированные объекты, то передаются они между приложениями по факту как набор последовательных байтов. Соответственно, перед передачей одно приложение преобразует (сериализует) данные в набор байтов, а при получении иное приложение восстанавливает нужную структуру из потока байтов (десериализует).
И естественно, что просто так данные не восстановишь – нужен некий ключ, указывающий получающему приложению, что делать с потоком байтов. В данном случае ключом выступает строка, а значение может быть практически любым, в том числе объектом типа Parcelable (для нашей темы подробности о том, что это такое, не важны). Уязвимости типа EvilParcel вызваны ошибками в методах создания и записи объектов данного типа – количество прочитанных байтов в парных методах будет отличаться, что позволяет изменить объект после повторной сериализации.
Это дает возможность злоумышленникам скрыть свою деятельность от механизмов защиты ОС, троянцы смогут выполнять вредоносные действия без разрешения пользователя.
#Android #мобильный #цифровая_подпись #уязвимость #эксплойт #обновления_безопасности
Антивирусная правДА! рекомендует
Dr.Web успешно детектирует вредоносные программы, использующие данные уязвимости.
Но береженого бог бережет.
Уязвимости EvilParcel угрожают устройствам под управлением ОС Android версий 5.0–8.1, на которых не установлены обновления от мая 2018 года и более поздние.
Если антивирус Dr.Web для Android обнаружил одну или несколько уязвимостей класса EvilParcel, рекомендуется обратиться к производителю оборудования для получения соответствующих обновлений операционной системы.
Устанавливайте обновления!
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
АНДРЕ
17:03:00 2020-02-10
Andromeda
21:40:40 2019-06-19
Альфа
21:37:32 2019-06-19
razgen
21:33:58 2019-06-19
anatol
20:42:21 2019-06-19
Шалтай Александр Болтай
20:25:19 2019-06-19
Татьяна
19:41:46 2019-06-19
L1t1um
19:40:38 2019-06-19
robot
19:05:18 2019-06-19
Геральт
16:51:09 2019-06-19
Zserg
16:25:44 2019-06-19
I23
16:19:13 2019-06-19
Lenba
16:14:31 2019-06-19
I46
16:06:54 2019-06-19
Natalya_2017
15:32:02 2019-06-19
sanek-xf
15:27:30 2019-06-19
Toma
15:23:17 2019-06-19
Masha
13:51:55 2019-06-19
vinnetou
12:55:39 2019-06-19
dyadya_Sasha
12:51:49 2019-06-19
maestro431
12:28:27 2019-06-19
Dmur
12:20:57 2019-06-19
Любитель пляжного футбола
12:03:35 2019-06-19
Sasha50
11:22:59 2019-06-19
EvgenyZ
10:56:17 2019-06-19
Вячeслaв
10:50:10 2019-06-19
Мы стараемся внедрять распознавание тех уязвимостей, которые реально могут быть использованы. А это не такой уж и большой список.
Цинично? На самом деле нет. Дело в том, что знание уязвимостей для нас вторично. Мы знаем сигнатуры файлов. Есть там использование или нет там этого - мы все равно возьмем файл по сигнатуре или поведению. И это гораздо важнее, чем знание уязвимостей. Потому как злоумышленники могут использовать неизвестные уязвимости. И мы должны взять файл несмотря на то знаем мы уязвимость или нет. Знание уязвимости это бонус. Важный, но все же бонус сверху основных технологий
zitkss
10:37:25 2019-06-19
Денисенко Павел Андреевич
10:13:04 2019-06-19
orw_mikle
09:50:19 2019-06-19
vkor
09:42:06 2019-06-19
Ilya
09:15:21 2019-06-19
marisha-san
09:08:22 2019-06-19
blade79
08:58:35 2019-06-19
А если андроид вообще старющий (ниже 5 версии), но стоит ДРБеб, то ведь доктор перехватит вирус? Доктор ведь знает обо всех найденных уязвимостях?
Alexander
08:37:31 2019-06-19
Будь здоров и улыбайся...
Без внутрисистемных и межпрограммных обменов данными жизни в компьютере не бывать. А злонамеренный подлог в виде передачи модифицированного подписанного файла позволяет лояльному "письмоносцу" доставить получателю EvilParcel (посылку с неприятностями). И если не обновлял свой любимый Android с мая прошлого года, - неожиданные казусы почти гарантированы.
Вот и получается, что, естественно, бережёного Бог бережёт, но устанавливать обновления, всё-таки, необходимо! Эта мудрая подсказка от АП может быть действенно реализована только при наличии актуального и правильно настроенного Dr.Web Security Space. И скачивать который желательно не с Google Play, а домашнего сайта Dr.Web.
DrKV
08:34:01 2019-06-19
И тут у меня возникает несколько вопросов:
1. Производители смартфонов могут оценить рынок своих моделей на текущий момент или этот критерий можно оценить только по количеству проданных за весь период?
2. Существует ли какая-нибудь обратная связь по каналу "производитель - клиент(пользователь)"?
3. На основании каких данных принимается решение о "списании в отставку старого бойца"?
Vlad X
08:20:51 2019-06-19
Неуёмный Обыватель
08:04:49 2019-06-19
Oleg
07:35:22 2019-06-19
Пaвeл
07:19:44 2019-06-19
ka_s
07:06:16 2019-06-19
tigra
06:41:33 2019-06-19
Korney
06:09:13 2019-06-19
Morpheus
05:08:00 2019-06-19