Megkerülve a Google Bouncerjét, az Android rosszindulatú programok elleni rendszerét

Válaszul az egyre nagyobb célpontra, amelyet Android operációs rendszere mutatott be a hackereknek, a Google 2012 februárjában bevezette a „Bouncer” kártevőirtó rendszert. A Bouncer-t úgy tervezték, hogy kiszűrje a rosszindulatú alkalmazásokat, mielőtt még megjelennének az Android Marketen. annak idején hívták. A név Google Playre változott, de a Bouncer folyton ácsorgott, csendesen megvédve minket a férgektől és a trójai falóktól.



A Google figyelmen kívül hagyta a részleteket, amikor kiderült a Bouncer, de most a Duo Security két biztonsági kutatója, Charlie Miller és Jon Oberheide megtalálta a módját, hogy távolról elérje a Bouncer alkalmazást, és belülről fedezze fel. Amit találtak, azt mutatja, hogy az okos rosszindulatú programok szerzői továbbra is kukába tehetik a telefonját.



Mit csinál a kidobó

2011 folyamán a Google-t sújtották a Android malware kihasználva az operációs rendszer kódjának kihasználását. Ami még rosszabb, néha ezek a rosszindulatú alkalmazások végül az Android Marketre kerültek. Voltak olyan alkalmazások, amelyek ellopták a névjegyeket, nyomon követték a billentyűleütéseket, sőt olyanok is, amelyek hatalmas számlákat gyűjtöttek a prémiumszámú számok sms-ével. Ez a kellemetlen kód általában a warez fórumokon lebegett, de a Play Store-ban való megjelenése nem volt hallatlan.



A Google PlayA Google mindig megengedte a fejlesztőknek, hogy feltöltsék alkalmazásaikat, hogy azonnal elérhetőek legyenek. De mivel az Android több figyelmet fordított a nem megfelelő emberek figyelmére, egyértelmű volt, hogy tenni kell valamit.

Az eredmény a Bouncer lett, de a Google úgy döntött, hogy először csak a legáltalánosabb fogalmakról beszél. A Bouncer-t úgy tervezték, hogy új biztonsági réteget adjon az Android-hoz anélkül, hogy a fejlesztőknek fárasztó emberek által lefutott unalmas jóváhagyási folyamaton kellene keresztülmenni. A Google-nak csak egy automatizált gép hideg hatékonyságára van szüksége.



A februári bejelentés azt állította, hogy a Bouncer néhány hónapja csendben futott a háttérben, ami a potenciálisan rosszindulatú alkalmazások 40% -os csökkenését eredményezte a piacon. Amikor a vizsgálatok befejeződtek, az áthaladó alkalmazásokat a szokásos módon tennék közzé. A fejlesztőknek csak néhány perc késést kellett elszenvedniük. Akkoriban szinte varázslövedéknek tűnt.



Amint most megtudjuk, a Bouncer által megsemmisített rosszindulatú program lehet az alacsonyan függő gyümölcs.

Hogyan működik a Bouncer belülről

Miller és Oberheide egy ideje vizsgálják a Market / Play Store-ot, hogy többet tudjanak meg a Bouncerről. A kutatóknak végül sikerült kukkantson be a spam-gyilkosba egy speciálisan kódolt Android-alkalmazással, amely távoli hozzáférést tesz lehetővé a Duo Security számára. A Bouncer egy virtuális telefon, amelyet egy Google szerveren emulálnak. Amikor a Bouncer betöltötte a trójai alkalmazást, Miller és Oberheide parancssoron keresztül tudták táplálni a Bouncer shell parancsokat. Így derültek ki Ugráló titkai.



A rendszer egyfajta QEMU nevű virtualizációs szoftvert futtat, amely egy könnyen észlelhető zászló, amely meg tudja mondani, hogy egy alkalmazás a Bouncer-en fut. A virtuális telefon regisztrálásához használt fiók szintén megegyezik, így biztosítva a Bouncer ujjlenyomatának második egyszerű módját. A Google virtuális telefonjának minden egyes példányát mézes edényekkel állította be, hogy a rosszindulatú programokat arra csábítsa, hogy a legjobban cselekedjenek: ellopja a dolgokat.

Macska kidobóKét kép van a Bouncer telefonon; egyik Lady Gaga és egy macska. Ha olyan alkalmazást észlelnek, amely ezeket a képeket egy távoli szerverre tölti fel, a Bouncer gyorsan kirúgja az ajtót. Hasonlóképpen, ha egy alkalmazás megpróbálja betakarítani a telefonról az elérhetőségi adatokat, amelyek egyetlen bejegyzést tartalmaznak egy Michelle.k.levin@gmail.com címre, akkor az is elindítja az alkalmazást. A Bouncer figyeli az SMS-szolgáltatást arra az esetre is, ha egy alkalmazás jogosulatlan szöveges üzeneteket próbál prémium számokra küldeni.



Nem tagadható, hogy ez egy ötletes módszer a csúnya fenyegetések felkutatására, de amint a Duo Security rámutat, a támadók könnyen megverhetik a Bouncert a saját játékában.



Hogyan lehet megtörni az Ugrálót

A Duo Security az egyik fontos tanulságot megtanulta a Bouncer-be való kis próbálkozásukból: ez csak akkor működik, ha senki sem ismeri a belső működését. Amint vázoltam, Miller és Oberheide többféle módszert találtak ki a Bouncer környezet ujjlenyomatának elkészítésére. Ez azt jelenti, hogy egy rosszindulatú program szerzője létrehozhat egy modult, amely egy bizonyos ideig felfüggeszti a rosszindulatú viselkedést, amikor a Bouncer észlelhető.

Anélkül, hogy ilyen messzire jutnának, a rosszindulatú programok szerzői megkerülhetik az észlelést, ha hűvös játékkal játszanak. A Bouncer nem futtat végtelen ideig alkalmazásokat; valójában csak az összes feltöltött alkalmazást vizsgálja körülbelül 5 percig, mielőtt biztonságosnak nyilvánítaná. A rosszfiúknak csak egy rövid ideig rejtve kell tartaniuk szándékaikat, hogy elkerüljék a szkennert, amilyen most létezik.

HéjAlternatív megoldásként az árnyékos emberek, akik kihasználják a telefonodat, csak feltölthetnek egy ártalmatlan alkalmazást, amely repülõ színekkel halad el a Bouncer mellett. Ezután idővel összetevőket lehet hozzáadni a Play Áruház frissítésein keresztül, amelyek lehetővé teszik a szunnyadó rosszindulatú funkciókat. Nyilvánvaló, hogy ez a hosszú hátrány, de a megfelelő kifizetés érdekében érdemes lehet.

A Duo Security azt állítja, hogy kapcsolatba lépett a Google-lal a sérülékenységek javításának érdekében. Bizonyos dolgokat egyszerűen lehet kijavítani, például az alkalmazások hosszabb ideig történő szkennelését vagy az alapértelmezett fiókadatok módosítását. De másokat, mint a könnyen detektálható virtualizált környezetet, nehezebb lesz ellenállni a támadásoknak. A legjobb megoldás az lenne, ha valódi eszközökön futtatnánk az alkalmazásokat, de a logisztika ezt lehetetlenné teheti.

Miller és Oberheide a hét későbbi részében a hackelés teljes bemutatóját kínálja a SummerCon-on. Addig a Google valószínűleg keményen dolgozik, hogy betömje a Bouncer-ben lévő lyukakat, hogy megvédje magát a rosszindulatú programok új hullámától.