„StrandHogg“ dėka kenkėjiška programa gali sukurti netikrų prisijungimo ekranus, kad pavogtų jūsų slaptažodžius
Pirmadienį Norvegijos mobiliosios saugos bendrovės „Promon“ tyrėjai viešai paskelbė apie rimtą „Android“ operacinės sistemos pažeidžiamumą. Tai gana taikliai pavadinta „StrandHogg“ vardu - vikingų taktika plaukti pakrančių linijomis ir gaudyti vietinius gyventojus ketinant juos parduoti kaip vergus. Šis pažeidžiamumas turi įtakos visoms „Google“ mobiliųjų operacinių sistemų versijoms, įskaitant naujausią „Android 10“, ir, pasak „Promon“, su ja įsilaužėliai gali užpulti 500 populiariausių programų „Google Play“ parduotuvėje vartotojus. Jei jis bus naudojamas, „StrandHogg“ suteikia užpuolikams galimybę padaryti beveik viską, pradedant skambučių žurnalų peržiūra per sukčiavimo prisijungimo duomenis ir baigiant žmonių šnipinėjimu naudojant įrenginio kamerą ir mikrofoną. Tačiau prieš pažiūrėdami, kaip veikia „StrandHogg“, pirmiausia turime sužinoti, kaip atsiskleidžia tipiška „Android“ ataka.
Table of Contents
Kaip įsilaužėliai dažniausiai puola „Android“ vartotojus
Visiems žinomas faktas, kad „Android“ įrenginys yra gana reikšmingas puolimo paviršius. Mūsų išmanieji telefonai yra daugiau ar mažiau priklijuoti prie mūsų rankų, ir šiais laikais mes beveik viską darome juose. Piratai iš tikrųjų gali juos panaudoti pavogdami neskelbtiną informaciją ir šnipinėdami mus, tačiau tai padaryti nėra taip paprasta, kaip apgauti mus įdiegiant kenkėjišką programą.
Programos paprastai neturi prieigos prie visų operacinės sistemos spragų ir keblumų. Pavyzdžiui, prieš naudodamiesi prietaiso mikrofonu, jie turi paprašyti aiškaus leidimo, o jei norima suteikti daugiau judėjimo laisvės, jiems reikia administracinių teisių. Įprastu atveju vartotojas nusprendžia, kurios programos gauna kokius leidimus, ir dėl to atakos dažnai nepavyksta. Gauti reikiamus leidimus be specialaus savininko sutikimo yra įmanoma, jei įrenginys yra įsišaknijęs, tačiau reikia pasakyti, kad ne tiek daug žmonių žino, kaip gali būti priversti įsišaknyti savo išmaniuosiuose telefonuose.
„StrandHogg“ bėda ta, kad jis gali veikti su šaknimis nesusijusiais įrenginiais, o tam tikrais išnaudojimo atvejais jis gali įgyti visus reikalingus leidimus, vartotojui neįtardamas kažko.
Kaip veikia „StrandHogg“
„StrandHogg“ stiprybė yra ta, kad ji leidžia įsilaužėliams apsimesti teisėtomis programomis. Sėkmingam „StrandHogg“ išnaudojimui reikia, kad vartotojas arba „dropper“ programa įdiegtų kenkėjišką programą. Anot „Promon“, kenkėjiška programinė įranga gali turėti tam tikrą teisėtą funkciją. Tačiau pagrindinis jo tikslas yra panaudoti „Android“ daugiafunkcinių užduočių sistemos trūkumą, kuris leidžia atlikti protingą triuką, kuris gali suklaidinti dar labiau pastabų vartotoją.
Dėl šio trūkumo kenkėjiška programinė įranga gali parodyti sukčiavimo prisijungimo formą, kai kitą kartą vartotojas paleidžia tokią programą, kaip, pavyzdžiui, „Facebook“. Po to, kai ji nusiųs surinktus prisijungimo duomenis įsilaužėliams, suklastota programa paleidžia „Facebook“, o tai sumažina aukos galimybes suprasti, kad kažkas ne taip.
Naudodamiesi „StrandHogg“, kenkėjiška programa taip pat gali apsimesti teisėta ir paprašyti leidimų, kuriuos gali būti sunku gauti įprastesnėje atakoje. Pvz., Jei trečiosios šalies orų programa arba skaičiuoklė prašo prieigos prie įrenginio fotoaparato, vargu ar spustelėsite mygtuką Gerai iškart. Kita vertus, jei „Facebook“ prašo to paties leidimo, jūs manote, kad tai visiškai normalu, nes būtent taip jūs kuriate įrašus ir istorijas kelyje. Tačiau dėl „StrandHogg“ programa, su kuria jūs bendraujate, gali būti visai ne „Facebook“.
Naudodamiesi „StrandHogg“, kenkėjiška programa gali gauti beveik bet kokį jai reikalingą leidimą, todėl pažeidžiamumą galima panaudoti tokiuose plačiuose išpuolių scenarijuose. Tarsi to nepakaktų, labai sunku aptikti sėkmingą išnaudojimą. „Promon“ ekspertai atkreipė dėmesį, kad galbūt galite pastebėti kenkėjišką programą naujausių programų ekrane, tačiau jie teigė, kad užpuolikai turi būdą paslėpti ją nuo jūsų. Tikrai bloga žinia yra ta, kad kibernetiniai nusikaltėliai jau žino, kaip pasinaudoti pažeidžiamumu, ir tai daro taip, kaip mes kalbame.
„StrandHogg“ jau yra išnaudojamas gamtoje
„Promon“ tyrėjai teigė matę „apčiuopiamų įrodymų“ apie įsilaužėlius, naudojančius „StrandHogg“ pažeidžiamumą. Tiesą sakant, visas tyrimas prasidėjo po to, kai keli bankai Čekijos Respublikoje nuskambėjo pavojaus signalus apie tai, kad klientai nusausino savo sąskaitas. „Lookout“, vienas iš „Promon“ partnerių, iš viso nustatė 36 kenksmingas programas, kurios buvo matomos gamtoje naudojant „StrandHogg“. Vienas iš jų buvo „BankBot“ variantas, datuojamas 2017 m., Ir nors nė viena iš programų neliko „Google Play“, kai kurios iš jų buvo atsisiųstos per lašintuvus, kuriuos buvo galima rasti „Android“ oficialioje parduotuvėje. „Google“ pašalino programas iškart po to, kai apie ją buvo pranešta, tačiau tada ji nepasakė, ką ji daro, kad pašalintų neabejotinai rimtą problemą.
Nors „Promon“ tyrėjai dar vasarą pasidalino savo išvadomis su „Google“, „StrandHogg“ veikia net ir naujausius flagmanų įrenginius, kuriuose veikia naujausia „Android“ versija. Tai reiškia, kad nustatyti pažeidžiamumą yra per sunku arba „Google“ neskuba to daryti. Kadangi paieškos sistemų milžinas nepaskelbė oficialaus komentaro, negalime būti tikri, kur yra problema. Tačiau „Promon“ ataskaita mums sako, kad kai pažeidžiamumo aspektus 2015 m. Aprašė Peno valstijos universiteto tyrėjai, „Google“ atmetė „StrandHogg“ sunkumą. Tikimės, kad kartu su oficialiu pranešimu ar be jo netrukus bus pritaikytas pleistras.
