Rumah Jam keamanan Cacat 'id palsu' yang mendasar membuat malware berjalan liar

Cacat 'id palsu' yang mendasar membuat malware berjalan liar

Video: Cacat Kristal | Imperfection in Solid Materials | Material Teknik | Agus Academy (Desember 2024)

Video: Cacat Kristal | Imperfection in Solid Materials | Material Teknik | Agus Academy (Desember 2024)
Anonim

Salah satu hal terbaik tentang sistem operasi seluler adalah sandboxing. Teknik ini menggabungkan aplikasi, mencegah aplikasi yang berisiko (atau aplikasi apa pun) bebas mengendalikan Android Anda. Tetapi kerentanan baru mungkin berarti bahwa kotak pasir Android tidak sekuat yang kami kira.

Apa itu?

Di Black Hat, Jeff Forristal menunjukkan bagaimana kesalahan dalam cara Android menangani sertifikat dapat digunakan untuk keluar dari kotak pasir. Itu bahkan dapat digunakan memberi aplikasi berbahaya tingkat hak istimewa yang lebih tinggi, semua tanpa memberikan petunjuk kepada korban tentang apa yang terjadi di ponsel mereka. Forristal mengatakan bahwa kerentanan ini dapat digunakan untuk mencuri data, kata sandi, dan bahkan mengambil kendali penuh dari beberapa aplikasi.

Pada intinya masalah adalah sertifikat, yang pada dasarnya adalah sedikit dokumen kriptografi yang dimaksudkan untuk memastikan bahwa suatu aplikasi adalah apa yang diklaimnya. Forristal menjelaskan bahwa ini adalah teknologi yang sama persis yang digunakan oleh situs web untuk memastikan keaslian. Tetapi Android, ternyata, tidak memeriksa hubungan kriptografis antara sertifikat. Cacat ini, kata Forristal, "sangat mendasar bagi sistem keamanan Android."

Hasil praktisnya adalah Anda dapat membuat aplikasi jahat, menggunakan sertifikat palsu, dan sejauh menyangkut Android, aplikasi tersebut sah. Masalah mendasar ini, yang Forristal sebut ID Palsu, memperkenalkan banyak kerentanan dan eksploitasi ke Android. Selama demonstrasi, Forristal menggunakan telepon baru yang dibeli enam hari sebelumnya.

Apa fungsinya?

Dalam peragaannya, Forristal menggunakan pembaruan Layanan Google palsu yang berisi kode berbahaya menggunakan salah satu kerentanan ID Palsu. Aplikasi ini dikirimkan bersama dengan email rekayasa sosial tempat penyerang berperan sebagai bagian dari departemen TI korban. Ketika korban pergi untuk menginstal aplikasi, ia melihat bahwa aplikasi tidak memerlukan izin apa pun dan tampak sah. Android melakukan instalasi, dan semuanya tampak baik-baik saja.

Namun di latar belakang, aplikasi Forristal telah menggunakan kerentanan ID Palsu untuk secara otomatis dan segera menyuntikkan kode berbahaya ke aplikasi lain di perangkat. Secara khusus, sertifikat Adobe untuk memperbarui Flash yang informasinya telah di-hardcode ke Android. Dalam hitungan detik, ia memiliki kendali atas lima aplikasi pada perangkat - beberapa di antaranya memiliki akses yang dalam ke perangkat korban.

Ini bukan pertama kalinya Forristal main-main dengan Android. Kembali pada tahun 2013, Forristal mengejutkan komunitas Android ketika ia meluncurkan apa yang disebut exploit Master Key. Kerentanan yang tersebar luas ini berarti bahwa aplikasi palsu dapat disamarkan sebagai aplikasi yang sah, berpotensi memberikan aplikasi gratisan izin berbahaya.

Periksa ID

Presentasi Forristal tidak hanya memberi kami berita yang membuka mata tentang Android, tetapi juga memberi kami alat untuk melindungi privasi kami. Forristal merilis alat pemindaian gratis untuk mendeteksi kerentanan ini. Tentu saja, itu masih berarti bahwa orang harus mencegah malware masuk ke ponsel mereka.

Bug ini juga telah dilaporkan ke Google, dan tambalan tampaknya keluar di tingkat yang berbeda.

Lebih penting lagi, seluruh serangan bergantung pada korban yang memasang aplikasi. Benar, ia tidak memiliki bendera merah untuk meminta banyak izin, tetapi Forristal mengatakan bahwa jika pengguna menghindari aplikasi dari "tempat teduh" (baca: di luar Google Play) mereka akan aman. Setidaknya untuk sekarang.

Cacat 'id palsu' yang mendasar membuat malware berjalan liar