ข้อบกพร่องพื้นฐาน 'รหัสปลอม' ช่วยให้มัลแวร์ทำงานได้ดี

หนึ่งในสิ่งที่ดีที่สุดเกี่ยวกับระบบปฏิบัติการมือถือก็คือการทำแซนด์บ็อกซ์ เทคนิคนี้แบ่งแอพพลิเคชั่นป้องกันแอพที่มีความเสี่ยง (หรือแอพใด ๆ ) จากการมีแอนดรอยด์ฟรีบน Android แต่ช่องโหว่ใหม่อาจหมายความว่า sandbox ของ Android ไม่แข็งแกร่งเท่าที่เราคิด

มันคืออะไร?

ที่ Black Hat, Jeff Forristal แสดงให้เห็นว่าข้อบกพร่องในการจัดการใบรับรอง Android สามารถนำมาใช้เพื่อหลบหนีกล่องทรายได้อย่างไร สามารถใช้แม้กระทั่งให้แอปที่เป็นอันตรายในระดับที่สูงขึ้นโดยไม่ต้องแจ้งให้ผู้ที่ตกเป็นเหยื่อทราบถึงสิ่งที่เกิดขึ้นในโทรศัพท์ของพวกเขา Forristal กล่าวว่าช่องโหว่นี้สามารถใช้เพื่อขโมยข้อมูลรหัสผ่านและแม้แต่ควบคุมแอพหลายแอปได้อย่างสมบูรณ์

หัวใจหลักของปัญหาคือใบรับรองซึ่งโดยทั่วไปแล้วเป็นเอกสารการเข้ารหัสลับขนาดเล็กที่มีไว้เพื่อให้แน่ใจว่าแอพเป็นสิ่งที่อ้างว่าเป็น Forristal อธิบายว่าเป็นเทคโนโลยีเดียวกับที่ใช้กับเว็บไซต์เพื่อรับรองความถูกต้อง แต่ Android กลับกลายเป็นไม่ตรวจสอบความสัมพันธ์การเข้ารหัสลับระหว่างใบรับรอง ข้อบกพร่องนี้กล่าวว่า Forristal เป็น "พื้นฐานที่ค่อนข้างสำคัญต่อระบบรักษาความปลอดภัย Android"

ผลที่สุดคือคุณสามารถสร้างแอปพลิเคชั่นที่เป็นอันตรายใช้ใบรับรองปลอมและสำหรับ Android ที่เกี่ยวข้องกับแอพนั้นถือว่าถูกต้อง ปัญหาพื้นฐานนี้ซึ่ง Forristal เรียกว่า Fake ID ได้แนะนำช่องโหว่จำนวนมากและการหาช่องโหว่เข้าสู่ Android ในระหว่างการสาธิตฟอร์ริสแซลใช้โทรศัพท์รุ่นใหม่ที่ซื้อมาแล้วหกวัน

มันทำอะไร

ในการสาธิตของเขา Forristal ใช้การอัปเดตบริการของ Google ปลอมที่มีรหัสที่เป็นอันตรายโดยใช้ช่องโหว่ของ Fake ID แอพนี้ถูกส่งไปพร้อมกับอีเมลวิศวกรรมสังคมที่ผู้โจมตีวางตัวเป็นส่วนหนึ่งของแผนกไอทีของเหยื่อ เมื่อเหยื่อไปติดตั้งแอปเขาเห็นว่าแอพไม่ต้องการการอนุญาตใด ๆ และดูเหมือนถูกต้องตามกฎหมาย Android ทำการติดตั้งและทุกอย่างดูเหมือนจะดี

แต่ในพื้นหลังแอปของ Forristal ได้ใช้ช่องโหว่ของ Fake ID เพื่อทำการฉีดโค้ดอันตรายลงในแอพอื่น ๆ บนอุปกรณ์โดยอัตโนมัติ โดยเฉพาะใบรับรอง Adobe สำหรับการอัปเดต Flash ที่มีข้อมูลถูกฮาร์ดโค้ดใน Android ภายในไม่กี่วินาทีเขาสามารถควบคุมแอพได้ห้าตัวบนอุปกรณ์ซึ่งบางตัวสามารถเข้าถึงอุปกรณ์ของเหยื่อได้

นี่ไม่ใช่ครั้งแรกที่ Forristal ยุ่งกับ Android ย้อนกลับไปในปี 2013 Forristal ทำให้ชุมชน Android ตกใจเมื่อเขาเปิดตัว Master Key exploit ช่องโหว่ที่มีการแพร่กระจายอย่างกว้างนี้หมายความว่าแอพปลอมอาจปลอมแปลงเป็นแอปที่ถูกกฎหมายซึ่งอาจส่งผ่านแอปที่เป็นอันตรายฟรี

ตรวจสอบ ID

การให้ความสำคัญของ Forristal ไม่เพียง แต่ทำให้เรามีข่าวเปิดตัวเกี่ยวกับ Android เท่านั้น แต่ยังมอบเครื่องมือในการปกป้องปัญหาของเราอีกด้วย Forristal เปิดตัวเครื่องมือสแกนฟรีเพื่อตรวจจับช่องโหว่นี้ แน่นอนว่ายังหมายความว่าผู้คนจะต้องป้องกันมัลแวร์ไม่ให้เข้ามาในโทรศัพท์

ข้อผิดพลาดได้รับการรายงานไปยัง Google และเห็นได้ชัดว่าแพทช์ออกมาในระดับที่แตกต่างกัน

ที่สำคัญกว่านั้นการโจมตีทั้งหมดนั้นจะทำให้ผู้ที่ติดตั้งแอพนั้นตกเป็นเหยื่อ จริงมันไม่มีธงสีแดงของการขออนุญาตจำนวนมาก แต่ Forristal กล่าวว่าหากผู้ใช้หลีกเลี่ยงแอพจาก "สถานที่ร่มรื่น" (อ่าน: นอก Google Play) พวกเขาจะปลอดภัย อย่างน้อยก็ตอนนี้.