يتيح خلل "الهوية المزيفة" الأساسي تشغيل البرامج الضارة بشكل وحشي

واحدة من أفضل الأشياء حول أنظمة التشغيل المحمولة هي صندوق الحماية. تقسم هذه التقنية التطبيقات ، وتمنع التطبيقات المحفوفة بالمخاطر (أو أي تطبيق) من كبح جماح Android. ولكن قد يعني وجود ثغرة جديدة أن الصندوق الرملي لنظام Android ليس قوياً كما كنا نظن.

ما هذا؟

في Black Hat ، أوضح Jeff Forristal كيف يمكن استخدام الخلل في كيفية تعامل Android مع الشهادات للهروب من صندوق الرمال. يمكن استخدامه حتى في إعطاء التطبيقات الخبيثة مستويات أعلى من الامتيازات ، كل ذلك دون إعطاء الضحايا فكرة عما يحدث في هواتفهم. قال Forristal أنه يمكن استخدام مشكلة عدم الحصانة هذه لسرقة البيانات وكلمات المرور وحتى التحكم الكامل في تطبيقات متعددة.

في صميم المشكلة ، الشهادات ، والتي هي في الأساس وثائق تشفير صغيرة تهدف إلى التأكد من أن التطبيق هو ما يدعي أنه. أوضح Forristal أنها نفس التقنية المستخدمة من قبل المواقع لضمان الأصالة. لكن يبدو أن أندرويد لا يفحص علاقات التشفير بين الشهادات. وقال Forristal ، إن هذا الخلل "أساسي للغاية لنظام أمان Android."

النتيجة العملية هي أنه يمكنك إنشاء تطبيق ضار ، واستخدام شهادة وهمية ، وفيما يتعلق بنظام Android ، فإن التطبيق شرعي. هذه المشكلة الأساسية ، التي يطلق عليها Forristal Fake ID ، تقدم العديد من نقاط الضعف وتستغل إلى Android. خلال مظاهرة له ، استخدم Forristal هاتف جديد تماما purhcased قبل ستة أيام.

ماذا يفعل

في العرض التوضيحي الخاص به ، استخدم Forristal تحديثًا مزيفًا لخدمات Google يحتوي على تعليمات برمجية ضارة باستخدام إحدى نقاط الضعف في معرف المزيف. تم تسليم التطبيق مع بريد إلكتروني للهندسة الاجتماعية حيث يمثل المهاجم جزءًا من قسم تكنولوجيا المعلومات للضحية. عندما يذهب الضحية لتثبيت التطبيق ، يرى أن التطبيق لا يتطلب أي أذونات ويبدو شرعيًا. يقوم Android بعملية التثبيت ، ويبدو أن كل شيء على ما يرام.

ولكن في الخلفية ، استخدم تطبيق Forristal مشكلة عدم حصانة معرف مزيف لإدخال تعليمات برمجية ضارة تلقائيًا وفوريًا في تطبيقات أخرى على الجهاز. على وجه التحديد ، شهادة Adobe لتحديث Flash تم فك معلوماته في Android. في غضون ثوان ، كان يسيطر على خمسة تطبيقات على الجهاز - كان لبعضها وصول عميق إلى جهاز الضحية.

ليست هذه هي المرة الأولى التي يفسد فيها Forristal نظام Android. في عام 2013 ، أذهل Forristal مجتمع Android عندما كشف النقاب عن استغلال ما يسمى Master Key. تعني هذه الثغرة الواسعة الانتشار أنه يمكن إخفاء التطبيقات المزيفة كتطبيقات مشروعة ، مما قد يمنح التطبيقات الضارة ترخيصًا مجانيًا.

تحقق معرف

لم يقدم لنا Forristal's الخبر المثير للانتباه حول نظام Android فحسب ، بل قدم لنا أيضًا أداة لحماية أنفسنا. أصدر Forristal أداة مسح مجانية للكشف عن هذه الثغرة الأمنية. بالطبع ، لا يزال هذا يعني أن على الأشخاص منع البرامج الضارة من الوصول إلى هواتفهم.

تم الإبلاغ عن هذا الخطأ أيضًا على Google ، ويبدو أن البقع تظهر على مستويات مختلفة.

والأهم من ذلك ، أن الهجوم بأكمله يتوقف على الضحية التي تقوم بتثبيت التطبيق. صحيح أنه لا يحتوي على العلامة الحمراء التي تطلب الكثير من الأذونات ، لكن فورستال قال إنه إذا تجنب المستخدمون التطبيقات من "الأماكن المظللة" (اقرأ: خارج Google Play) فسيكونون آمنين. على الأقل لغاية الآن.