Google apstiprina lietotni, kas nozog visus jūsu datus





Šķiet, ka Google automatizētajam lietotņu Bouncer, kam vajadzētu novērst kaitīgas mobilās programmatūras parādīšanos uzņēmuma lietotņu veikalā, ir nopietnas aklās zonas. Sistēma vairākkārt skenēja, bet ļāva iet garām lietotnei, kas slepeni nozog personas datus, piemēram, fotoattēlus un kontaktus, ziņoja divi pētnieki no datoru drošības uzņēmuma Trustwave. Melna cepure drošības konferencē Lasvegasā vakar.

Nikolass Perkoko un Šons Šulte ir Trustwave ētiskās hakeru pētniecības grupas dalībnieki, kas pazīstami kā SpiderLabs , un viņi izveidoja lietotni, lai pārbaudītu Google spēju pārbaudīt savā lietotņu veikalā augšupielādēto programmatūru. Pāris sacīja, ka rezultāti liecina, ka Google ir jāuzlabo gan lietotņu skenēšanas sistēma, gan Android operētājsistēma.

Tā kā arvien vairāk cilvēku maina galddatorus un klēpjdatorus pret viedtālruņiem un planšetdatoriem, mobilā drošība kļūst arvien svarīgāka. Daudzi lietotāji arī uzvedas tā, it kā viss, ko viņi lejupielādē no lietotņu veikala, būtu drošs.



Šis triks ir apkaunojošs Google, kas paziņoja par Bouncer esamību drošības sistēma, kas skenē uzņēmuma lietotņu veikalā esošās lietotnes šā gada februārī, norādot, ka tā tika veiksmīgi izmantota kopš 2011. gada beigām (skatiet Uzbrukumus Android Intensify ). Šī gada jūnijā divi pētnieki no cita apsardzes uzņēmuma Duo Security, uzbruka pašam Bounceram , sniedzot detalizētu informāciju par to, kā tas darbojas.

Percoco un Schulte bija vairāk ieinteresēti parādīt, kā noziedznieki, kas cer nopelnīt naudu no sliktām lietotnēm, var apiet Bouncer sistēmu. Viņi augšupielādēja nekaitīgu lietotni Google lietotņu veikalā un pēc tam secīgi to jaunināja, lai tā kļūtu arvien šķebinošāka, lai redzētu, cik tālu viņi var iet, pirms Bouncer sāka darboties.

Sākotnējā lietotne ar nosaukumu SMS Bloxor vienkārši bloķēja īsziņas no noteiktiem numuriem. SMS bloķēšana tika izvēlēta, jo pētnieki vēlējās atturēt lietotājus no lietotnes lejupielādes. Citas lietotnes, no kurām daudzas ir bezmaksas, jau piedāvā tādu pašu funkcionalitāti, un SMS Bloxor cena bija 49,95 USD. Mēs negribējām, lai 5000 lietotāju lejupielādētu mūsu ļaunprātīgo lietotni, sacīja Percoco. Es esmu vienīgais, kas to nopirka.



Pirmajā versijā bija iebūvēta vienkārša tālruņa mājas funkcija, lai pētnieki zinātu, vai Bouncer ir testējis lietotni. Google nav izlaidusi tehnisko informāciju par Bouncer, taču ir paziņojusi, ka tā pārbauda lietotnes, skenējot to kodu un palaižot tās simulētā tālrunī, lai redzētu, ko tās dara. Tas nozīmē, ka lietotnei ir jānodrošina piekļuve internetam, tāpēc, kad SMS Bloxor piezvanīja uz mājām dažas minūtes pēc augšupielādes Google Play veikalā, bija skaidrs, ka Bouncer to bija skenējis. Pēc tam lietotne parādījās Google Play lietotņu veikalā un bija gatava lejupielādei.

Pēc tam pētnieki iesniedza septiņas atjauninātas versijas, no kurām katra pievienoja vairāk ļaunprātīgu līdzekļu. Pirmais varēja slepeni nosūtīt personas kontaktus lietotnes veidotājiem. Tālāk norādītās versijas var nozagt īsziņas, kopēt tālruņa identifikācijas informāciju, nozagt fotoattēlus, nozagt zvanu ierakstus, nolaupīt ekrānu un, visbeidzot, uzbrukt interneta adresei, pārpludinot to ar datu pieprasījumiem, kas var noņemt vietnes, ja tās ir daudz inficētas. datori darbojas kopā, ko sauc par izplatīto pakalpojumu atteikuma (DDoS) uzbrukumu.

Mēs domājām, ka kāda no šīm darbībām, piemēram, viltus ekrāns vai DDoS, mūs pieķers. Un tā nenotika, sacīja Šulte. Bouncer skenēja un palaida lietotnes atjauninātās versijas, taču vienmēr ļāva tai darboties. Iespējams, tas bija tāpēc, ka Bouncer nekad nav redzējis lietotni sliktākajā gadījumā. Lai gan skenētajās versijās bija viss kods, kas vajadzīgs, lai izdarītu sliktas lietas, pētnieki gaidīja, līdz viņi bija paslīdējuši garām Bouncer, lai nosūtītu lietotnei pēdējos norādījumus, kas tai nepieciešami, lai iespējotu ļaunprātīgu darbību.



SMS Bloxor beidzot tika izņemts no veikala pēc tam, kad pētnieki augšupielādēja versiju, kas nepārtraukti nosūtīja visus datus no ierīces atpakaļ lietotnes veidotājiem, nekad neapstājoties. Automatizētā e-pastā Percoco tika informēts, ka viņa izstrādātāja konta darbība ir apturēta, un eksperiments tika pārtraukts. Brīdinājums netika nosūtīts vienai personai, kas bija samaksājusi un lejupielādējusi lietotni – pašam Percoco.

Pāris informēja Google par eksperimentu pirms savas prezentācijas vakar pēcpusdienā un tūlīt pēc tam tikās ar uzņēmuma pārstāvjiem, lai apspriestu savus atklājumus.

Percoco ierosināja, ka Google varētu paplašināt Bouncer sasniedzamību un padarīt to par katras Android klausules funkciju, kurā tā varētu pārbaudīt lietotnes darbību pēc tās instalēšanas. Percoco arī teica, ka Google vajadzētu pārskatīt funkciju, kas ļauj klusi nosūtīt jaunu kodu lietotnēm pēc tam, kad tās ir augšupielādētas pakalpojumā Google Play.



Google un citi lietotņu veikalu nodrošinātāji vispirms izstrādāja šādus veikalus, galvenokārt ņemot vērā biznesa modeli, nevis drošību, jo saasinājās konkurence par mobilo ierīču uzplaukuma izmantošanu. Tomēr lielais pašlaik apritē esošo ierīču skaits un to intīmā loma cilvēku dzīvē ir pārliecinājusi daudzus drošības ekspertus, ka lietotņu veikali drīzumā tiks pakļauti ievērojamiem noziedzīgiem centieniem. Google pagājušajā mēnesī ziņoja, ka kopš 2008. gada, kad tās pirmo reizi kļuva pieejamas, ir aktivizēti vairāk nekā 400 miljoni Android ierīču (skatiet Android Has Arrived), un katru dienu tiek aktivizēts vēl miljons.

Percoco sacīja, ka Google un citiem līdz šim ir paveicies un viņiem vēl ir laiks tikt priekšā gaidāmajam vilnim. Pašlaik lielākā daļa mobilo ierīču ļaunprātīgas programmatūras piemēru ir mērķtiecīgi uzbrukumi personām, piemēram, vadītājiem, kuriem varētu būt piekļuve vērtīgiem korporatīvajiem datiem. Aiz stūra būs vēl kāda plašāka katastrofa, kas var skart desmitiem tūkstošu vai miljonus lietotāju.

paslēpties