Další trojský kůň zneužívá bezpečnostní díru „Master Key“
Nedávno odhalený trojský kůň zneužívá bezpečnostní díru „Master Key“ a může tak ohrozit většinu telefonů a tabletů s Androidem.
Ruská bezpečnostní firma Dr. Web objevila trojského koně, kterého označila jako Android.Nimefas.1.origin, jež dle jejího varování může poskytnout zločincům řadu pravomocí nad infikovaným zařízením. „Android.Nimefas.1.origin může posílat textové zprávy, předávat důvěrné informace a umožňuje útočníkům vzdáleně spouštět některé příkazy na infikovaných mobilních zařízeních,“ tvrdí ve zprávě Dr. Web.
Co je bezpečnostní díra „Master Key“?
„Připomeňme, že chyba se týká instalace aplikací pro Android: pokud balíček APK obsahuje podadresář se dvěma soubory, které mají stejný název, operační systém ověřuje digitální podpis pouze prvního souboru, ale nainstaluje ten druhý, jehož podpis nebyl potvrzen. Vetřelci tak mohou obejít bezpečnostní mechanismus, který zabraňuje instalaci aplikací, jež byly změněny třetí stranou, “ uvádí se v prohlášení.
Na našem webu princip bezpečnostní díry „Master Key“ velmi pěkně vysvětlil v diskuzi pod článkem Obchod Play patrně zcela nechrání před zneužitím skrze „Master Key“ čtenář, vystupující pod přezdívkou v6ak:
„Master Key bez další kontroly na Google Play by umožnil scénář, kdy po získání přístupu k cizímu účtu mohu „aktualizovat“ jeho aplikaci. Bez přístupu k jeho účtu bych asi nemohl publikovat druhou aplikaci se stejným package name – Google Play by asi mi nedovolil nahrát aplikaci s package name „cz.seznam.mapy“, když už tam jedna taková je. Problém to může být u systémových aplikací, které nejsou na Google Play, např. com.android.phone, případně různé aplikace na SMS, synchronizaci, notifikační lišta (přesněji SystemUI), aplikace od výrobce* a další**.
Uživatel by si tak nainstaloval moji aplikaci, kterou by si nahradil například zmíněnou notifikační lištu. Útočník by tak získal přístup k notifikacím a díky shared user ids případně i k datům dalších aplikací, které běží pod stejným uživatelem.
*) Což by ale omezovalo počet potenciálních obětí. Ale dost možná ten problém bude útočník mít tak jako tak, závisí to na některých detailech v Google Play, u kterých si nejsem 100% jist.
**) Nechce se mi hledat jejich package names, musel bych zapínat telefon, který má velké problémy s baterií, takže by to možná ani nevyšlo. Ale to asi není podstatné, tyto aplikace prostě na Google Play většinou nejsou, tomu asi budeme všichni věřit i bez package name.“
David Trlica
Android.Nimefas.1.origin ohrožuje uživateleJak funguje trojan Android.Nimefas.1.origin
Bezpečnostní experti provedli experiment, při kterém zjistili, že po spuštění na zařízení trojan nejprve zkontroluje, zda je v systému spuštěna služba známého čínského antiviru. Pokud je služba nalezena, Android.Nimefas.1.origin začne hledat /system/xbi/su nebo /system/bin/su, čímž se snaží zjistit, zda může použít práva roota. Pokud je soubor nalezen, je proces trojanu ukončen. Pokud není splněna žádná z výše uvedených podmínek, malware zůstane běžet.
Trojan může skrýt příchozí zprávy od vybraného uživatele – filtr ukrývá zprávy podle jejich textu nebo čísla, přičemž seznam si stahuje ze serveru útočníka.
Dr. Web uvádí, že útok se v současnosti zaměřuje na čínské uživatele Androidu, ale pravděpodobně se brzy rozšíří i v jiných regionech. „Aktuálně Android.Nimefas.1.origin představuje největší hrozbu pro čínské uživatele, protože se šíří s velkým počtem her a aplikací, které jsou k dispozici v čínském repozitáři.“ Správci serveru již byli informováni o problému, nicméně je takřka jisté, že v blízké budoucnosti bude objem malware využívajícího zranitelnosti „Master Key“ narůstat, a to nejen co do počtu, ale také geograficky.
Na vině jsou pomalé aktualizace!
Chyba zabezpečení „Master Key“ byla poprvé zveřejněna společností BlueBox Security. Google vydal záplatu na tuto zranitelnost, nicméně aktualizace, řešící tento problém, byla zatím uvolněna jen pro malý počet zařízení. Nejnovější Android 4.3 Jelly Bean již údajně opravu obsahuje.
„Protože výrobci mobilních zařízení se systémem Android neuvolňují aktualizace operačního systému, které by uzavřely tuto chybu zabezpečení, může být mnoho zařízení ovlivněno podobnými škodlivými aplikacemi,“ uvádí se v prohlášení. „Velmi mnoho stále aktivních zařízení již není svými výrobci podporováno, jejich majitelé pravděpodobné nemají proti uvedené formě útoku žádnou ochranu.“
Jedná se o podobnou formu napadení, jako škodlivý kód Android.Skullkey, který objevila společnost Symantec koncem července (psali jsme o tom ve zprávičce Symantec: Máme šest aplikací zneužívajících díru Master Key).
Zdroj: V3.
Komentáře (9)
Přidat komentář