Black Hat: ช่องโหว่ของมาสเตอร์คีย์หลายตัวทำให้ Android ติดขัด

ทุกอย่างเริ่มต้นจากการเล่นตลก Jeff Forristal ของ Bluebox Security อธิบาย ทีม Bluebox ต้องการสร้างแอป FourSquare เวอร์ชันที่แฮ็กซึ่งจะทำให้ดูเหมือนว่าคุณอยู่ในสถานที่แปลก ๆ อย่างแอนตาร์กติกา อนึ่ง Google Maps ปฏิเสธคำขอจากแอป tweaked การหาแนวทางแก้ไขปัญหาดังกล่าวนำทีมไปสู่จุดอ่อนที่พวกเขาขนานนามว่า "มาสเตอร์คีย์" "หัวข้อนี้ได้รับการคุ้มครองแล้ว" Forristall กล่าว "มันรั่วไหลออกมาไม่กี่สัปดาห์ แต่จริงๆแล้วมันมีมาสเตอร์คีย์มากกว่าหนึ่งคีย์ดังนั้นการพูดนี้จึงเพิ่มขึ้นจากข้อผิดพลาดหนึ่งถึงสี่"

Forristal อธิบายว่าด้วยการถอดแยกดัดแปลงและประกอบแอพอีกครั้งพวกเขาได้เปลี่ยนลายเซ็นนักพัฒนาซอฟต์แวร์ ลายเซ็นใหม่ไม่ได้รับอนุญาตให้ใช้ Google Maps ดังนั้นจึงถูกปฏิเสธ ภารกิจใหม่ของพวกเขา; เปลี่ยนรหัสโดยไม่ต้องเปลี่ยนลายเซ็น

Forristal เดินผ่านชุดของเหตุการณ์ที่มีรายละเอียดที่เกิดขึ้นเมื่อ Android ตรวจสอบแอปที่ลงชื่อ แต่ละชั้นจะทำการตรวจสอบก่อนหน้านี้เริ่มต้นด้วยการตรวจสอบว่ารุ่นของรหัสไม่ได้ถูกดัดแปลงและลงท้ายด้วยลายเซ็นดิจิทัลของแพ็คเกจทั้งหมด เขาพยายามโจมตีระบบในทุกขั้นตอนส่วนใหญ่ไม่มีโชค

"รูปแบบ APK, JAR และ ZIP นั้นเหมือนกันหมด" Forristal กล่าว "JAR และ APK มีส่วนประกอบเพิ่มเติม" ความสำเร็จครั้งสุดท้ายของเขาเกี่ยวข้องกับการใช้ประโยชน์จากรูปแบบ ZIP เมื่อเขาแทรกไฟล์ "evil" ที่มีชื่อเดียวกับไฟล์ที่ถูกต้องที่มีอยู่แล้ว verifier จะลงชื่อออกในไฟล์ที่ถูกต้อง แต่ไฟล์ "evil" ได้เริ่มขึ้นแล้ว

ทำไม? เนื่องจาก Android ใช้รหัสการจัดการไฟล์ ZIP ที่แตกต่างกันในตัวตรวจสอบและในตัวติดตั้งจริง "ความแตกต่างของการแยกวิเคราะห์ไฟล์ ZIP เป็นสาเหตุของข้อผิดพลาดนี้" Forristal อธิบาย "อันที่จริงมี แปด ไฟล์ ZIP ที่แยกวิเคราะห์การใช้งานในฐานรหัส Android"

ออกจาก Sandbox

"ฉันใช้เคล็ดลับนี้เพื่อประโยชน์" ฟอร์ริสกล่าว "เอาเป็นว่ามันยอดเยี่ยม" เช่นเดียวกับ iOS Android จะเรียกใช้แอปแต่ละตัวในแซนด์บ็อกซ์ของตัวเองดังนั้นแอปไม่สามารถเข้าถึงทรัพยากรที่เป็นของแอพอื่น "วิธีเดียวในกล่องทรายคือการลงชื่อโดยผู้พัฒนารายเดียวกัน" เขาอธิบาย "นั่นคือสิ่งที่ทำให้การปรับปรุงเป็นไปได้"

“ ระบบโดยรวมสมัครรับแนวคิดเดียวกัน” เขากล่าวต่อ "แซนด์บ็อกซ์ระบบบังคับใช้แซนด์บ็อกซ์อื่นทั้งหมดมันควบคุมการตั้งค่าทั้งหมดของคุณไม่ใช่ราก แต่มันมีข้อมูลแอปรหัสผ่านและการตั้งค่าทั้งหมดของคุณเหลืออะไรอีกแล้วระบบมีประสิทธิภาพมาก" แอพที่เข้าถึง Sandbox ของระบบนั้นโดยทั่วไปแล้วจะมีการลงชื่อโดยผู้สร้างแพลตฟอร์ม “ ฉันต้องการเพียงแค่รับแอพที่ลงนามแพลตฟอร์มและทำเคล็ดลับเล็ก ๆ ของฉันและฉันควรจะเข้าถึงระบบในระดับที่ดีกว่าแผนที่ FourSquare” เขากล่าวสรุป

ปรากฎว่า VPN ของบุคคลที่สามจำเป็นต้องลงนามในแพลตฟอร์มและเป็นโบนัสที่พวกเขาร้องขอการเข้าถึง Sandbox ระบบแล้ว Forristal แสดงคำสั่งง่าย ๆ สามคำที่เขาใช้ในการใส่รหัส "ความชั่วร้าย" ของเขาใน VPN บุคคลที่สามพูดเล่นเกี่ยวกับ "เครื่องมือแฮ็ค" über ผลลัพธ์? โทรจันที่สามารถเข้าถึงระบบได้อย่างสมบูรณ์

ใช้ประโยชน์ง่าย

นักเทคโนโลยีรักษาความปลอดภัยระดับสูง Saurik (เจฟรีแมน) นำแนวคิดไปสู่อีกระดับ Forristal อธิบาย เครื่องมือ Cydia Impactor ของเขาทำงานบน OSX และ Windows และทำให้การหาประโยชน์เป็นไปโดยอัตโนมัติ "เชื่อมต่ออุปกรณ์" Forristal กล่าว "มันเป็นตัวตรวจสอบแอพที่ถูกต้องสร้างมันเพิ่มแฮ็คที่เหมาะสมเพื่อให้เข้าถึงรูทและส่งมันฉันจะปล่อยแอพแนวความคิดเล็ก ๆ น้อย ๆ ออกมา แต่มันยอดเยี่ยมมาก "

Forristal ตั้งข้อสังเกตว่าประเภทโปรเซสเซอร์ของอุปกรณ์นั้นไม่สำคัญ การโจมตีไม่ได้รับผลกระทบจาก ASLR (การสุ่มตัวอย่างเค้าโครงระบบที่อยู่) หรือ DEP (การป้องกันการดำเนินการข้อมูล) เขาสร้างหนึ่งรุ่นที่ทำงานบน Android สี่ชั่วอายุคนและทักษะที่จำเป็นจริงๆเพียงอย่างเดียวคือความรู้เกี่ยวกับ Java "ฉันส่งสิ่งนี้เพื่อ Black Hat เพราะมันง่ายที่จะเข้าใจและหาประโยชน์" Forristal กล่าว

คีย์หลักเพิ่มเติม

Forristal พบข้อบกพร่องที่ค้นพบเมื่อไม่นานมานี้จำนวนมากซึ่งอาจถือได้ว่าเป็น "มาสเตอร์คีย์" เมื่อผ่านโค้ดสำหรับคุณสมบัติที่เรียกว่าคุณลักษณะที่รับรองความถูกต้องนักวิจัย Bluebox พบบรรทัดที่ใส่เครื่องหมายข้อคิดเห็นและทำเครื่องหมาย "สิ่งที่ต้องทำ" เนื่องจากรหัสที่หายไปไม่ว่าคุณจะทำการเปลี่ยนแปลงไฟล์ใดผ่านการตรวจสอบ มีไฟล์ไม่มากที่ใช้คุณสมบัตินี้โดยระบุไว้ Forristal "หากคุณพบไฟล์ใดไฟล์หนึ่งคุณสามารถคัดลอกและวางไฟล์ใบรับรองและรับข้อมูลประจำตัวของนักพัฒนาซอฟต์แวร์ได้หากคุณเซ็นชื่อแอปด้วยแอตทริบิวต์ที่มีการรับรองความถูกต้อง เนื่องจากข้อผิดพลาดนี้ได้รับการแก้ไขก่อนที่ Bluebox จะรายงานพวกเขาจะไม่รับเครดิต

การโจมตี "Hidden Trojan" ที่รายงานโดยนักวิจัยชาวจีนกลายเป็นหนึ่งในหลายวิธีที่เป็นไปได้ในการใช้ประโยชน์จากตัวแยกวิเคราะห์ไฟล์ ZIP ของ Android การโจมตีเหล่านี้ใช้ประโยชน์จากความจริงที่ว่าผู้ใช้ parser หนึ่งลงนามจำนวนเต็มและอื่น ๆ ใช้จำนวนเต็มไม่ได้ลงนาม

"มันไม่ได้เกี่ยวกับการแทนที่ไฟล์เดียว" Forristal กระตือรือร้น "คุณสามารถใช้เคล็ดลับนี้เพื่อดึงข้อมูลในไฟล์ ZIP ที่แตกต่างกันอย่างสมบูรณ์หนึ่งอันได้รับการตรวจสอบแล้วการทำงานอื่น ๆ เทคนิคสองสามอย่างและเกร็ดเล็กเกร็ดน้อยในพื้นที่นี้อาจแสดงพลังมากขึ้นสำหรับแนวทางนี้"

แม้ว่ามัลแวร์ที่ใช้เทคนิคนี้ได้รับการเห็นในป่า แต่ก็ ไม่ควรที่ จะได้รับไฟล์ Trojanized เหมือนที่อธิบายไว้ที่นี่ใน Google Play คุณ อาจ จะปลอดภัยถ้าคุณติดตั้งแอพที่ผ่านการตรวจสอบอย่างเป็นทางการเท่านั้น ยังคงปลอดภัยโปรดติดตั้งอัปเดต Android ที่มีอยู่ทันที