אחד הדברים הטובים ביותר במערכות הפעלה סלולריות הוא ארגזי חול. טכניקה זו ממחזרת אפליקציות, ומונעת מאפליקציות מסוכנות (או כל אפליקציה) לקבל רסן חופשי על אנדרואיד שלך. אולם פגיעות חדשה עשויה לגרום לכך שארגז החול של אנדרואיד אינו חזק כמו שחשבנו.
מה זה?
ב"כובע שחור ", ג'ף פורסטל הדגים כיצד פגם באופן שבו אנדרואיד מטפל בתעודות יכול לשמש כדי להימלט מארגז החול. אפשר אפילו להשתמש בזה כדי לתת לאפליקציות זדוניות רמות הרשאות גבוהות יותר, כל זאת מבלי לתת לקרבנות מושג מה קורה בטלפון שלהם. פורסטלי אמר כי ניתן להשתמש בפגיעות זו לגניבת נתונים, סיסמאות ואפילו להשתלטות מלאה על מספר אפליקציות.
בבסיס ההנפקה נמצאים אישורים, שהם בעצם מסמכים קריפטוגרפיים מעטים שנועדו להבטיח שאפליקציה היא מה שהיא טוענת שהיא. פורסטל הסביר כי מדובר באותה טכנולוגיה המשמשת אתרי אינטרנט כדי להבטיח את האותנטיות. אבל אנדרואיד, מתברר, אינה בודקת את מערכות היחסים הקריפטוגרפיות בין תעודות. הפגם הזה, אמר פוריסטל, הוא "די בסיסי למערכת האבטחה של אנדרואיד."
מה שזה עושה
בהפגנה שלו, השתמש פריסטל בעדכון מזויף של שירותי Google שהכיל קוד זדוני המשתמש באחת מהפגיעויות המזויפות. האפליקציה נמסרה יחד עם דוא"ל הנדסי חברתי בו התוקף מציב כחלק ממחלקת ה- IT של הקורבן. כאשר הקורבן הולך להתקין את האפליקציה, הוא רואה שהאפליקציה אינה דורשת הרשאות ונראית לגיטימית. אנדרואיד מבצעת את ההתקנה, ונראה שהכל בסדר.
אך ברקע, האפליקציה של Forristal השתמשה בפגיעות ב- Fake ID כדי להזרים באופן אוטומטי ומיידי קוד זדוני ליישומים אחרים במכשיר. באופן ספציפי, אישור Adobe לעדכון פלאש שמידעו הוקודד לאנדרואיד. תוך שניות הייתה לו שליטה על חמש אפליקציות במכשיר - לחלקן גישה עמוקה למכשיר הקורבן.
זו לא הפעם הראשונה שפורסטל מתעסק באנדרואיד. עוד בשנת 2013, הפריסטל הפתיע את קהילת אנדרואיד כאשר חשף את מה שמכונה ניצול המאסטר קי. הפגיעות הרחבה הזו פירושה שניתן היה להסוות אפליקציות מזויפות כאל לגיטימיות, ועלולות להעניק לאפליקציות זדוניות מעבר חופשי.
בדוק מזהה
הפרזנטציה של פוריסטל לא רק העניקה לנו את החדשות הפוקחות עין על אנדרואיד, היא גם נתנה לנו כלי להגן על הרגלים שלנו. Forristal שיחרר כלי סריקה בחינם לאיתור פגיעות זו. כמובן, זה עדיין אומר שאנשים יצטרכו למנוע תוכנות זדוניות להיכנס לטלפונים שלהם.
דיווח על הבאג גם ל- Google, וככל הנראה טלאים יוצאים ברמות שונות.
חשוב מכך, כל ההתקפה תלויה בקורבן שמתקין את האפליקציה. נכון, אין לו את הדגל האדום של לבקש המון הרשאות, אך Forristal אמר שאם המשתמשים ימנעו מאפליקציות מ"מקומות מוצלים "(קרא: מחוץ לגוגל פליי) הם יהיו בטוחים. לפחות לעת עתה.
