Video: Mga batayang impormasyon ng Komunidad(AP 2- Aralin2) (Nobyembre 2024)
Ang isa sa mga pinakamahusay na bagay tungkol sa mga mobile operating system ay ang sandboxing. Ang diskarteng ito ay nagpapahiwatig ng mga aplikasyon, na pumipigil sa mga mapanganib na apps (o anumang app) mula sa pagkakaroon ng libreng magpalitan ng higit sa iyong Android. Ngunit ang isang bagong kahinaan ay maaaring nangangahulugang ang sandbox ng Android ay hindi kasing lakas ng naisip namin.
Ano ito?
Sa Black Hat, ipinakita ni Jeff Forristal kung paano ang isang pagkakamali sa kung paano ginagamit ng Android ang mga sertipiko upang makatakas sa sandbox. Maaari itong magamit na bigyan ang mga nakakahamak na apps na mas mataas na antas ng pribilehiyo, lahat nang hindi nagbibigay ng mga palatandaan sa mga nangyayari sa kanilang telepono. Sinabi ni Forristal na ang kahinaan na ito ay maaaring magamit upang magnakaw ng data, mga password, at kahit na kontrolin ang maraming mga app.
Sa pangunahing isyu ay ang mga sertipiko, na kung saan ay karaniwang maliit na mga dokumento ng cryptographic na inilaan upang matiyak na ang isang app ay kung ano ang inaangkin nito. Ipinaliwanag ni Forristal na ito ang eksaktong parehong teknolohiya na ginagamit ng mga website upang matiyak ang pagiging tunay. Ngunit ang Android, lumiliko ito, ay hindi sinusuri ang mga relasyon sa cryptographic sa pagitan ng mga sertipiko. Ang kamalian na ito, na sinabi ng Forristal, ay "medyo pangunahing sa sistema ng seguridad ng Android."
Ano ang Ito
Sa kanyang pagpapakita, ginamit ni Forristal ang isang pekeng pag-update ng Mga Serbisyo sa Google na naglalaman ng malisyosong code gamit ang isa sa mga kahinaan ng Fake ID.Ang app ay naihatid kasama ang isang email sa social engineering na kung saan ang manlusob ay nag-asign bilang bahagi ng departamento ng IT ng biktima. Kapag nagpunta ang biktima upang i-install ang app, nakikita niya na ang app ay hindi nangangailangan ng anumang mga pahintulot at lumilitaw na lehitimo. Isinasagawa ng Android ang pag-install, at ang lahat ay mukhang maayos.
Ngunit sa background, ang app ng Forristal ay gumamit ng kahinaan ng Fake ID upang awtomatiko at agad na mag-iniksyon ng nakakahamak na code sa iba pang mga app sa aparato. Partikular, isang sertipiko ng Adobe para sa pag-update ng Flash na ang impormasyon ay hardcoded sa Android. Sa loob ng ilang segundo, nagkaroon siya ng kontrol sa limang mga app sa aparato - ang ilan sa mga ito ay may malalim na pag-access sa aparato ng biktima.
Hindi ito ang unang pagkakataon na ang Forristal ay nagulo sa paligid ng Android. Noong 2013, nagulat ang Forristal sa pamayanan ng Android nang ibukas niya ang tinaguriang Master Key. Ang malawak na pagkalat na kahinaan ay nangangahulugang ang mga pekeng apps ay maaaring maging disguised bilang mga lehitimong bago, na potensyal na nagbibigay ng malisyosong apps ng isang libreng pass.
Suriin ang ID
Ang prsentation ng Forristal ay hindi lamang nagbigay sa amin ng pagbubukas ng mata ng balita tungkol sa Android, binigyan din namin ito ng isang tool upang maprotektahan ang mga oursevles. Ang forristal ay naglabas ng isang libreng tool sa pag-scan upang makita ang kahinaan na ito. Siyempre, nangangahulugan pa rin ito na ang mga tao ay kailangang maiwasan ang pagkuha ng malware sa kanilang mga telepono.
Ang bug ay naiulat din sa Google, at ang mga patch ay tila lumalabas sa iba't ibang antas.
Mas mahalaga, ang buong mga bisagra ng pag-atake sa biktima na mai-install ang app. Totoo, wala itong pulang bandila na humihiling ng maraming mga pahintulot, ngunit sinabi ni Forristal na kung maiiwasan ng mga gumagamit ang mga app mula sa "malilim na lugar" (basahin: sa labas ng Google Play) magiging ligtas sila. Basta sa ngayon.
