أحصنة طروادة مستغلة عيب مفتاح الروبوت الموجود في البرية

وجد باحثون من سيمانتيك أن هناك تطبيقين موزعين في الأسواق الصينية يستغلان الضعف الرئيسي لـ Android.

تسمح مشكلة عدم الحصانة "المفتاح الرئيسي" ، التي تم نشرها في وقت سابق من هذا الشهر ، للمهاجمين بتعديل التطبيقات الحالية عن طريق إدراج ملف ضار يحمل نفس اسم الملف الموجود في حزمة التطبيق. عندما يفتح Android ملف الحزمة ، فإنه يتحقق من صحة التوقيع الرقمي للملف الأول ولا يتحقق من صحة الثاني لأنه يعتقد أنه قام بالفعل بالتحقق من هذا الملف. كان الشاغل الأكبر هو أن المهاجمين يمكنهم استغلال الخلل لإنشاء تطبيقات ضارة يمكنها التنكر كتطبيقات مشروعة والتحكم عن بُعد في أجهزة المستخدم.

عثرت Symantec على تطبيقين تم توزيعهما في سوق تطبيقات في الصين كانا يستخدمان هذا التطبيق. يتم استخدام التطبيقات للعثور على المواعيد مع الطبيب وتحديد مواعيدها ، وفقًا لما نشرته الأربعاء في مدونة Symantec Security Response.

وقال منشور المدونة "نتوقع أن يواصل المهاجمون استغلال هذه الثغرة الأمنية لإصابة أجهزة المستخدمين المطمئنين".

استغل مطور التطبيق الثغرة الأمنية لإضافة برامج ضارة تسمى Android.Skullkey. تقوم طروادة هذه بسرقة البيانات من الهواتف المعرضة للخطر ، وترصد النصوص المستلمة والمكتوبة على الهاتف ، كما ترسل رسائل نصية قصيرة إلى أرقام مميزة. يمكن لـ Trojan أيضًا تعطيل تطبيقات برامج الأمان المحمولة المثبتة على هذه الأجهزة.

جوجل المسح لهذه التطبيقات؟

يأتي تقرير Symantec بعد أيام قليلة من العثور على BitDefender تطبيقين على Google Play كانا يستخدمان أيضًا أسماء ملفات مكررة ، ولكن ليس بطريقة ضارة. تحتوي لعبة Rose Wedding Cake Game و Pirates Island Mahjong على اثنين من ملفات الصور المكررة (PNG) والتي تعد جزءًا من واجهة اللعبة.

وكتب بوغدان بوتزاتو ، كبير محللي التهديد الإلكتروني في بيتدفندر ، على مدونة Hot for Security: "لا تعمل التطبيقات على تعليمات برمجية ضارة - إنها مجرد تعريض علة Android للكتابة فوق ملف صورة في الحزمة ، على الأرجح عن طريق الخطأ". أسبوع.

قال Botezatu لـ SecurityWatch: "لا يوجد سبب وراء امتلاك ملف APK ملفين لهما أسماء متطابقة في نفس المسار".

تم تحديث كلا التطبيقين مؤخرًا ومن المثير للاهتمام بشكل خاص أن التطبيقات لم ترفع أي أعلام حمراء عند مسحها بواسطة Google Play ، على حد قول Botezatu. تذكر أن Google قالت إنها أجرت تغييرات على Google Play لمنع التطبيقات التي تستغل هذه الثغرة الأمنية. يبدو أن السؤال الآن هو فقط عندما قامت Google بتحديث الماسح الضوئي الخاص بالسوق ، حيث تم تحديث لعبة كعكة الزفاف في يونيو الماضي. أو يمكن أن تدرك Google أن أسماء ملفات الصور المكررة ليست ضارة نظرًا لعدم وجود كود قابل للتنفيذ والسماح للتطبيقات بالمرور.

الابتعاد عن الأسواق غير الرسمية

كما نصحنا في الماضي ، التمسك بـ Google Play ولا تقم بتنزيل التطبيقات من مصادر خارجية مثل الأسواق والمنتديات ومواقع الويب غير الرسمية. التمسك بـ "أسواق تطبيقات Android ذات السمعة الطيبة" حيث يتم التحقق من التطبيقات ومسحها ضوئيًا قبل إدراجها.

أصدرت Google بالفعل تصحيحًا للمصنعين ، ولكن الأمر متروك للبائعين وشركات النقل فيما يتعلق بموعد إرسال التحديث إلى جميع مالكي الأجهزة.

إذا كنت تستخدم CyanogenMod أو توزيعات Android الأخرى التي عملت بالفعل على تصحيح الأخطاء ، فأنت محمي من هذه الأنواع من التطبيقات. إذا حاولت تثبيت التطبيقات التي تم تعديلها بهذه الطريقة ، فسترى الرسالة ، "لم يتم توقيع ملف الحزمة بشكل صحيح."