Kiertää Googlen Bounceria, Androidin haittaohjelmien torjuntaa

Vastauksena yhä suurempaan kohteeseen, jonka Android-käyttöjärjestelmä esitti hakkereille, Google otti helmikuussa 2012 käyttöön Bouncer-haittaohjelmien torjuntajärjestelmän. Bouncer on suunniteltu suodattamaan haitalliset sovellukset ennen kuin ne koskaan näkyivät Android Marketissa, kuten sitä kutsuttiin tuolloin. Nimi muuttui Google Playksi, mutta Bouncer jatkoi halailemista ja suojeli meitä hiljaa matoilta ja Troijan hevosilta.



Google paljasti yksityiskohtia paljastaessaan Bouncerin, mutta nyt kaksi Duo Securityn tietoturvatutkijaa, Charlie Miller ja Jon Oberheide, ovat löytäneet tavan päästä etäyhteyden Bounceriin ja tutkia sitä sisältäpäin. Löytämästään käy ilmi, että älykkäät haittaohjelmien kirjoittajat voivat silti viedä puhelimesi roskakoriin.

Mitä Bouncer tekee

Koko vuoden 2011 aikana Google oli vaivannut tapauksia Android-haittaohjelma hyödyntämällä käyttöjärjestelmän koodin hyväksikäyttöjä. Mikä pahempaa, joskus nämä haitalliset sovellukset päätyivät pääsemään Android Marketiin. Oli sovelluksia, jotka varastivat yhteystietoja, seurasivat näppäilyjäsi, ja jopa sellaisia, jotka keräsivät valtavia laskuja lähettämällä tekstiviestejä korkean hinnan numeroille. Tämä epämiellyttävä koodi kellui yleensä warez-foorumeilla, mutta sen esiintyminen Play Kaupassa ei ollut ennenkuulumatonta.



Google PlayGoogle on aina sallinut kehittäjien ladata sovelluksensa saataville heti. Mutta kun Android herätti enemmän väärän tyyppisten ihmisten huomiota, oli selvää, että jotain oli tehtävä.



Tuloksena oli Bouncer, mutta Google päätti puhua aluksi vain yleisimmistä termeistä. Bouncer on suunniteltu lisäämään Androidille uusi tietoturvakerros ilman, että kehittäjiä vaaditaan käymään läpi tylsä ​​hyväksyntäprosessi, jonka johtavat surkeat ihmiset. Google tarvitsee vain automaattisen koneen kylmän tehokkuuden.

Helmikuun ilmoituksessa väitettiin, että Bouncer oli toiminut hiljaa taustalla useita kuukausia, mikä johti 40%: n pudotukseen mahdollisesti haitallisissa sovelluksissa Marketissa. Kun tarkistukset on suoritettu, ohitussovellukset julkaistaan ​​normaalilla tavalla. Kehittäjien täytyi kärsiä vain muutaman minuutin viiveestä. Se tuntui melkein taikuudelta tuolloin.

Kuten olemme nyt oppineet, Bouncerin tuhoama haittaohjelma on saattanut olla matalasti roikkuva hedelmä.

Kuinka Bouncer toimii sisäpuolelta



Miller ja Oberheide ovat tutkineet Market / Play-myymälää jonkin aikaa yrittäessään oppia lisää Bouncerista. Tutkijat onnistuivat lopulta kurkista roskapostimurhaajaan erityisesti koodatulla Android-sovelluksella, joka on suunniteltu sallimaan Duo Securityn etäkäyttö. Bouncer on virtuaalinen puhelin, jota jäljitellään Google-palvelimella. Kun Bouncer latasi troijalaisen sovelluksen, Miller ja Oberheide pystyivät syöttämään Bouncer-komentotulkikomentoja komentorivin kautta. Näin Bouncerin salaisuudet paljastettiin.

Järjestelmä käyttää QEMU-nimistä virtualisointiohjelmistoa, joka on helposti havaittavissa oleva lippu, joka voi kertoa sovellukselle, että se toimii Bouncerissa. Virtuaalipuhelimen rekisteröintiin käytetty tili on myös identtinen, mikä tarjoaa toisen yksinkertaisen tavan sormenjälkien palauttajaan. Google on asettanut jokaisen virtuaalipuhelimensa hunajapotilla houkuttelemaan haittaohjelmia tekemään parhaiten: varastamaan tavaraa.

Kissa BouncerBouncer-puhelimessa on kaksi kuvaa; yksi Lady Gagasta ja yksi kissasta. Jos havaitaan sovellus, joka lähettää nämä kuvat etäpalvelimelle, Bouncer antaa sille nopean potkun ulos ovesta. Samoin, jos sovellus yrittää hakea yhteystiedot puhelimesta, joka sisältää yhden merkinnän yhdelle Michelle.k.levin@gmail.com, myös se käynnistää sovelluksen. Bouncer valvoo myös tekstiviestipalvelua, jos sovellus yrittää lähettää luvattomia tekstiviestejä premium-numeroisiin numeroihin.



Ei voida kiistää, että tämä on nerokas tapa etsiä ikäviä uhkia, mutta kuten Duo Security huomauttaa, hyökkääjät voisivat helposti voittaa Bouncerin omassa pelissään.

Kuinka Bouncer voidaan rikkoa

Duo Security oppi yhden tärkeän oppitunnin pienestä hyökkäyksestään Bounceriin: se toimii vain, kun kukaan ei tiedä sen sisäistä toimintaa. Kuten hahmottelin, Miller ja Oberheide keksivät useita tapoja sormenjälkien palauttamiseen. Tämä tarkoittaa, että haittaohjelmien kirjoittaja voi rakentaa moduulin, joka keskeyttää haitallisen toiminnan tietyn ajan, kun Bouncer havaitaan.

Edes menemättä niin pitkälle, haittaohjelmien kirjoittajat voivat välttää tunnistamisen pelaamalla sitä viileänä. Bouncer ei käytä sovelluksia loputtomiin; itse asiassa se skannaa vain jokaisen ladatun sovelluksen noin 5 minuutin ajan ennen kuin julistaa sen turvalliseksi. Pahojen täytyy vain pitää aikomuksensa piilossa lyhyen ajan kiertääkseen skanneria sellaisenaan.

KuoriVaihtoehtoisesti varjoisat ihmiset, jotka haluavat hyödyntää puhelintasi, voivat vain ladata vaarattoman sovelluksen, joka ohittaa Bouncerin lentävillä väreillä. Sitten ajan myötä komponentteja voidaan lisätä Play Kaupan päivitysten kautta, jotka mahdollistavat lepotilassa olevat haitalliset ominaisuudet. Ilmeisesti tämä on pitkä huijaus, mutta oikean voiton saavuttamiseksi se voi olla sen arvoista.

Duo Security sanoo, että se on ollut yhteydessä Googleen saadakseen haavoittuvuudet paikalle. Jotkut asiat voivat olla yksinkertaisesti korjattavissa, kuten sovellusten skannaaminen pidemmäksi ajaksi tai tilin oletustietojen muuttaminen. Mutta toisia, kuten helposti havaittavaa virtualisoitua ympäristöä, on vaikeampaa vastustaa hyökkäyksiä vastaan. Paras ratkaisu olisi käyttää sovelluksia todellisilla laitteilla, mutta logistiikka saattaa tehdä siitä mahdotonta.

Miller ja Oberheide tarjoavat täyden esittelyn hakkeroinnista SummerConilla myöhemmin tällä viikolla. Siihen asti Google työskentelee todennäköisesti kovasti työntääkseen Bouncerin aukot suojautuakseen uudelta haittaohjelmalta.

Copyright © Kaikki Oikeudet Pidätetään | 2007es.com