שלושה שבועות בלבד לאחר ש-Bluebox Security הכריזה לראשונה על גילוי פגם מרכזי באנדרואיד של גוגל עם פוטנציאל להפוך מכשירים ל"בוטנט זומבי", סימנטק דיווחה על מציאת אפליקציות נוכלות שמנצלות את הפגיעות.
מקור: Symantec מזהה תוכנות זדוניות חתומות חדשות שאנדרואיד לא יכול
בתחילת יולי, Blueboxיצא לציבורעם חדשות על הפגם, שהשפיע כמעט על כל מכשיר אנדרואיד בשימוש.
גוגל "סירבה להגיב בנושא", אך פעלה במהירות כדי לחסום הפצה של אפליקציות שביקשו לנצל את הנושא בשוק Google Play משלה. עם זאת, אחת מתכונות המפתח העיקריות של אנדרואיד היא ה"פתיחות" לאפשר למשתמשים להתקין תוכנות מחנויות אחרות.
החופש הזה הפך כעת לחבות. בעוד החוקרים שחררו במהירות אפליקציות "מבחנה" המדגימות כיצד ניתן לנצל את הפגיעות, סימנטק זיהתה כעת את התוכנה הזדונית הראשונה בטבע שמבקשת לנצל את הפגם, ואת הקושי הקיצוני של גוגל בתיקון מיליוני מכשירים פגיעים.
בכל זאת יש תפקיד במכשירי Post-PC עבור Symantec
בחדשדִוּוּחַ, ציינה סימנטק, "ציפינו שהפגיעות תמונף במהירות בגלל קלות הניצול, וכך יש"."הם יכולים לחטוף באופן חופשי יישומים לגיטימיים ואפילו אדם נבון לא יכול היה לדעת שהאפליקציה נארזה מחדש עם קוד זדוני". - סימנטק
החברה סרקה אפליקציות אנדרואיד מ"מאות שווקים" באמצעות הכלי Norton Mobile Insight שלה, ובהתחלה גילתה שתיים ביום שלישי.
שניהם (הצג למעלה) היו "יישומים לגיטימיים שהופצו בשוקי אנדרואיד בסין כדי לעזור למצוא ולקבוע פגישות לרופא."
למחרת, סימנטק זיהתה עוד ארבע אפליקציות מזוהמות, "נדבקו על ידי אותו תוקף ומופצות באתרי אפליקציות של צד שלישי". האפליקציות המנוצלות כללו "אפליקציית חדשות פופולרית, משחק ארקייד, משחק קלפים ואפליקציית הימורים והגרלות", כולם מכוונים למשתמשים סינים.
אפליקציות התוכנות הזדוניות שהתגלו הן גרסאות ששונו בסתר של אפליקציות לגיטימיות שרוב מכשירי האנדרואיד לא יכולים לזהות כמזוהמות, הודות לפגמים ארוכי שנים במערכת האבטחה של אנדרואיד שכל העיניים של קהילת הקוד הפתוח לא הצליחו לזהות.
נשק עבור מונטיזציה של תוכנות זדוניות, בסיוע פגמים
סימנטק קודם לכןמוּסבָּרכי "החדרת קוד זדוני לאפליקציות לגיטימיות הייתה טקטיקה נפוצה על ידי יוצרי אפליקציות זדוניות מזה זמן מה."
עם זאת, "בעבר הם היו צריכים לשנות גם את האפליקציה וגם את שם המפרסם וגם לחתום על כל אפליקציה עם טרויאנית עם חתימה דיגיטלית משלהם."
שינויים אלה יהפכו את האפליקציות המזוהמות לקל לזהות, הודות להןחתימת אפליקציה. "מישהו שבחן את פרטי האפליקציה יכול היה להבין באופן מיידי שהאפליקציה לא נוצרה על ידי המפרסם הלגיטימי", הסבירה חברת האבטחה.
עם הפגם החדש שהתגלה באנדרואיד, "התוקפים כבר לא צריכים לשנות את פרטי החתימה הדיגיטלית האלה", כלומר "הם יכולים לחטוף בחופשיות אפליקציות לגיטימיות ואפילו אדם נבון לא יכול היה לדעת שהאפליקציה נארזה מחדש בקוד זדוני".
בעוד שניתן לפרוץ גם אפליקציות iOS, אבטחת חתימת האפליקציות של אפל פועלת כדי לזהות ולחסום אפליקציות מזוהמות מלפעול. חנות האפליקציות של אפל משמשת גם כמקור היחיד לתוכנת צד שלישי מחוץ לפיתוח מותאם אישית המחייבת ארגונים להפיץ אישורי אבטחה משלהם כדי לחתום על ההצפנה המאובטחת של אפליקציות כאלה.
אפליקציות אנדרואיד דורשות באופן שגרתי הרשאות עצומות, מיותרות ובלתי מתאימות למגוון רחב של יכולות לפני ההתקנה, בתהליך שרוב המשתמשים לוחצים עליהם ללא בדיקה.
התוכנה הזדונית בטבע שגילתה סימנטק שינתה את שתי האפליקציות עם קוד "כדי לאפשר להן לשלוט מרחוק במכשירים, לגנוב נתונים רגישים כמו IMEI ומספרי טלפון, לשלוח הודעות SMS מובחרות ולהשבית כמה יישומי אבטחה סיניים ניידים באמצעות שימוש פקודות בסיס, אם זמינות."
לאחר מכן גילתה החברה את מטען התוכנה הזדונית, המכונה "Android.Skullkey", נועד גם לשלוח הודעת טקסט ספאם לכל מספרי הטלפון באנשי הקשר של המכשיר, להפנות אותם לכתובת אתר תוכנה זדונית בהודעה מותאמת הפונה לנמען על ידי שֵׁם.
iOS 6 של אפל אינו מאפשר לאפליקציות לגשת לאנשי קשר או לשלוח הודעות למשתמשים ללא אישור המשתמש, אך אפליקציות אנדרואיד דורשות באופן שגרתי הרשאות עצומות, מיותרות ובלתי מתאימות למגוון רחב של יכולות לפני ההתקנה, בתהליך שרוב המשתמשים לוחצים עליהם ללא בדיקה .
אנדרואיד היא הפלטפורמה של מחקר שיווקי פתוח
דוגמאות לדרישות הרשאות רחבות ומיותרות כאלה מתחילות מלמעלה: פייסבוק לאנדרואיד, האפליקציה הפופולרית ביותר של הפלטפורמה, דורשת גישה למגוון רחב של הרשאות לפני ההתקנה, כולל היכולת לצפות במספרי טלפון באנשי קשר ובשיחות שמתנהלות.
מוקדם יותר החודש, האפליקציה הפופולרית הייתהנתפסקצירת ספרי טלפונים שלמים של משתמשים להעלאה לגרף העצום של הרשת החברתית, ללא הודעה מוקדמת, ובהמשך "שיתוף" מידע עם משתמשים אחרים "שיש להם קשר כלשהו אליהם" באתר.
סמסונג, בעלת הרישיון הגדולה ביותר לאנדרואיד, השיקה החודש גם אפליקציית Jay Z "חינם" לקידום מכשירי הדגל שלה "SAFE" Galaxy S4 ו-Note 2, אך בתנאים שדרש גישהלמיקום ה-GPS המדויק של המשתמשים, גישה לאנשי הקשר ו/או חשבונות הרשת החברתית של המשתמשים, וסטטיסטיקות לגבי האפליקציות שבהן השתמשו ובאילו מספרי טלפון הם התקשרו.
פייסבוק וסמסונג פשוט משתמשות באנדרואיד כפי שגוגל מתכוונת שהפלטפורמה שלה תעבוד. מוקדם יותר השנה, אחרי שזה היהדיווחש-Google Play שולחת למפתחי צד שלישי את השם, הכתובת הפיזית והאימייל של כל מי שקונה את האפליקציות שלהם, בלי שום אינדיקציה שהמידע הזה מועבר בפועל.
תגובתה של גוגל הייתה להעליב את אפיון העיתונאים של הנושא כ"פגם" ולהישען על בעלי אתרים להסיר כל תיאור לא מחמיא של הנוהג מהכותרות, מהסיפורים ומה-SEO שלהם בנושא, כך שהמשתמשים פשוט לא יהיו מודעים. של הבעיה ואי אפשר לחפש מידע עליה.
