A StrandHoggnak köszönhetően a rosszindulatú program hamis bejelentkezési képernyőket hozhat létre a jelszavak ellopásához
Hétfőn a Promon nevű norvég mobilbiztonsági cég kutatói nyilvánosságra hozták az Android operációs rendszer súlyos sebezhetőségét. Meglehetősen helyesen nevezték el a StrandHogg-nak - a vikingeknek a part menti vonalak felrobbanásának és az őslakosok elfogásának taktikájának azzal a szándékával, hogy rabszolgákként kereskedjenek velük. A biztonsági rés a Google mobil operációs rendszerének minden verzióját érinti, beleértve a legújabb Android 10-et is, és Promon szerint ezzel együtt a hackerek megtámadhatják a Google Play Áruház 500 legnépszerűbb alkalmazásának felhasználóit. Amennyiben kihasználják, a StrandHogg lehetőséget ad a támadók számára, hogy szinte bármit megtehessenek, kezdve a hívásnaplók áttekintését az adathalász bejelentkezési hitelesítő adatokon keresztül az emberek kamerájának és mikrofonjának a kémkedésével. Mielőtt megtudnánk, hogyan működik a StrandHogg, először meg kell tanulnunk, hogyan bontakozik ki az Android elleni tipikus támadás.
Table of Contents
Hogyan hackerek általában megtámadják az Android felhasználókat
Közismert tény, hogy egy Android készülék elég jelentős támadási felületet képvisel. Okostelefonjaink többé-kevésbé a kezünkhöz vannak ragasztva, és manapság nagyjából mindent megteszünk rájuk. A hackerek valóban felhasználhatják őket érzékeny információk ellopására és kémkedésre, de ez nem olyan egyszerű, mint egy rosszindulatú alkalmazás telepítésének becsapása.
Az alkalmazások általában nem férnek hozzá az operációs rendszer minden szegletéhez és törzséhez. Mielőtt például használni tudnák az eszköz mikrofonját, kifejezett engedélyt kell kérniük, és ha nagyobb mozgásmódot akarnak biztosítani, akkor adminisztratív jogokra van szükségük. Egy tipikus esetben a felhasználó dönti el, hogy mely alkalmazások kapják meg az engedélyeket, és a támadások ezért gyakran kudarcot vallnak. A szükséges engedélyek a tulajdonos külön beleegyezése nélkül megszerezhetők, ha az eszköz gyökerezik, de el kell mondani, hogy nem sokan tudják, hogyan lehet vagy zavarni okostelefonjaikat.
A StrandHogg problémája az, hogy nem gyökerező eszközökön működhet, és bizonyos hasznosítási forgatókönyvekben megszerezheti az összes szükséges engedélyt anélkül, hogy a felhasználó gyanúsítana valamit.
Hogyan működik a StrandHogg?
A StrandHogg erőssége abban rejlik, hogy lehetővé teszi a hackereknek, hogy megszemélyesítsék a törvényes alkalmazásokat. A StrandHogg sikeres kihasználásához rosszindulatú alkalmazás telepítését igényli a felhasználó vagy egy csepegtető alkalmazás. Promon szerint a rosszindulatú szoftverek valamilyen legitim funkcionalitással járhatnak. Fő célja azonban az Android multitasking rendszerének gyengeségeinek használata, amely lehetővé teszi okos trükkö elvégzését, amely még a figyelmesebb felhasználót is becsaphat.
E gyengeség miatt a rosszindulatú programok adathalász bejelentkezési űrlapot jeleníthetnek meg, amikor a felhasználó legközelebb elindít egy alkalmazást, például a Facebookot. Miután elküldte az összegyűjtött bejelentkezési hitelesítő adatokat a hackereknek, a hamis alkalmazás futtatja a Facebook-ot, ami csökkenti az áldozatok esélyét arra, hogy kiderüljen, hogy valami nincs rendben.
A StrandHogg használatával egy rosszindulatú alkalmazás megszemélyesíthet egy legitim felhasználót és engedélyeket kérhet, amelyeket nehéz lehet megszerezni egy szokásosabb támadás esetén. Például, ha egy harmadik féltől származó időjárási alkalmazás vagy számológép hozzáférést kér az eszköz kamerájához, akkor nem valószínű, hogy azonnal rákattint az OK gombra. Ha viszont a Facebook ugyanazt az engedélyt kéri, akkor azt gondolja, hogy ez teljesen normális, mert így készíthet üzeneteket és történeteket útközben. A StrandHogg miatt azonban az az alkalmazás, amellyel kapcsolatba lépsz, valószínűleg nem egyáltalán a Facebook.
A StrandHogg használatával egy rosszindulatú alkalmazás nagyjából megszerez minden szükséges engedélyt, ezért a biztonsági rést ilyen széles támadási forgatókönyvekben lehet felhasználni. Mintha ez nem lenne elég, a sikeres kizsákmányolást nagyon nehéz felismerni. A Promon szakértői megjegyezték, hogy lehet, hogy észlelheti a rosszindulatú alkalmazást a Legutóbbi alkalmazások képernyőn, de azt mondták, hogy a támadóknak módjuk van rejteni azt tőled. Az igazán rossz hír az, hogy a számítógépes bűnözők már tudják, hogyan lehet kihasználni a sebezhetőséget, és a mi beszédünk szerint csinálják.
A StrandHogg-ot már vadonban is felhasználják
Promon kutatói szerint "kézzelfogható bizonyítékot" láttak a hackereknek a StrandHogg sebezhetőségét használva. Valójában a teljes vizsgálat azt követően kezdődött, hogy a Cseh Köztársaságban több bank riasztást adott ki az ügyfelek számára, hogy elszámolják számláikat. A Lookout, az Promon egyik partnere, összesen 36 rosszindulatú alkalmazást azonosított, amelyeket láttak a StrandHogg vadonban történő kiaknázásakor. Az egyik volt a 2017-es BankBot változat, és bár egyik alkalmazás sem található a Google Playen, néhányat letöltöttek az Android hivatalos áruházában elérhető csepegtetőkön keresztül. A Google azonnal értesítést követően eltávolította az alkalmazásokat, de aztán nem tudta elmondani, hogy mit tesz, hogy kétségtelenül súlyos problémát javítson.
Noha a Promon kutatói nyáron megosztották a megállapításokat a Google-lal, a StrandHogg még az Android legújabb verzióját futtató legújabb zászlóshajókat is befolyásolja. Ez azt jelenti, hogy vagy a biztonsági rés kijavítása túl nehéznek bizonyul, vagy a Google nem sietett túl sokat. Mivel a keresőmotor óriása nem adott ki hivatalos megjegyzést, nem tudjuk biztosan meggyőződni arról, hogy hol van a probléma. Promon jelentése azonban azt mondja nekünk, hogy amikor a Penn State University kutatói 2015- ben leírták a sebezhetőség aspektusait, a Google elutasította a StrandHogg súlyosságát. Remélhetőleg hivatalos bejelentéssel vagy anélkül hamarosan javítás fog jönni.
