Zaobiti Googlov Bouncer, Androidov sistem proti zlonamerni programski opremi

Kot odgovor na vse večje cilje, ki jih je operacijski sistem Android predstavil hekerjem, je Google februarja 2012 uvedel sistem za preprečevanje zlonamerne programske opreme 'Bouncer'. Bouncer je bil zasnovan za filtriranje zlonamernih aplikacij, še preden so se sploh pojavile na trgu Android Market, se je takrat imenovalo. Ime se je spremenilo v Google Play, vendar se je Bouncer še naprej mešal in nas tiho ščitil pred črvi in ​​trojanskimi konji.



Google je bil pri razkritju Bouncerja podroben, vendar sta zdaj dva raziskovalca varnosti iz Duo Security, Charlie Miller in Jon Oberheide, našla način za oddaljen dostop do Bouncerja in raziskovanje od znotraj. Ugotovljeno kaže, da lahko pametni avtorji zlonamerne programske opreme še vedno uničijo vaš telefon.



Kaj naredi Bouncer

V celotnem letu 2011 so Google mučili primeri Zlonamerna programska oprema za Android izkoriščanje izkoriščanja v kodi OS. Kar je bilo še huje, včasih so te zlonamerne aplikacije na koncu prišle na Android Market. Obstajale so aplikacije, ki so krale stike, sledile pritiskom na tipke in celo tiste, ki so z pošiljanjem sporočil na premijske številke nabirale ogromne račune. Ta neprijetna koda je običajno plavala po forumih warez, vendar njenega videza v Trgovini Play ni bilo nemogoče slišati.



Google PlayGoogle je razvijalcem vedno dovoljeval, da naložijo svoje aplikacije, da so takoj na voljo. A ker je Android pritegnil več pozornosti napačnih ljudi, je bilo jasno, da je treba nekaj storiti.

Rezultat je bil Bouncer, vendar se je Google najprej odločil, da bo o tem spregovoril le najobsežneje. Bouncer je bil zasnovan tako, da Androidu doda novo stopnjo varnosti, ne da bi od razvijalcev zahtevali dolgočasen postopek odobritve, ki ga vodijo mehki ljudje. Google potrebuje hladen izkoristek avtomatiziranega stroja.



Februarsko obvestilo je trdilo, da je Bouncer že nekaj mesecev mirno deloval v ozadju, kar je povzročilo 40-odstotni padec potencialno zlonamernih aplikacij na trgu. Ko so skeniranja končana, bi bile objavljene aplikacije objavljene na običajen način. Razvijalci so morali trpeti le v nekaj minutah zamude. Takrat se je zdelo skoraj kot čarobna krogla.



Kot se zdaj učimo, je bila morda zlonamerna programska oprema, ki jo je Bouncer izničil, lahko slabo sadje.

Kako Bouncer deluje od znotraj

Miller in Oberheide že nekaj časa preiskujeta Market / Play Store, da bi izvedeli več o Bouncerju. Raziskovalcem je sčasoma uspelo pokukajte na morilca neželene pošte s posebno kodirano aplikacijo za Android, zasnovano tako, da omogoča oddaljeni dostop za Duo Security. Bouncer je virtualni telefon, ki se posnema na Googlovem strežniku. Ko je Bouncer naložil trojansko aplikacijo, sta Miller in Oberheide lahko prek ukazne vrstice napajala ukaze lupine Bouncerja. Tako so se razkrile Bouncerjeve skrivnosti.



Sistem uporablja vrsto programske opreme za virtualizacijo, imenovano QEMU, ki je zlahka zaznavna zastavica, ki aplikaciji lahko pove, da se izvaja na Bouncerju. Račun, ki se uporablja za registracijo navideznega telefona, je prav tako enak, kar zagotavlja drugi preprost način za odbijanje prstnih odtisov. Google je za vsak primerek svojega navideznega telefona pripravil medene strežnike, da bi zvabil zlonamerno programsko opremo, da dela tisto, kar najbolje počne: krade stvari.

Cat BouncerNa telefonu Bouncer sta dve sliki; ena Lady Gaga in ena mačka. Če zazna aplikacija, ki te slike naloži na oddaljeni strežnik, jo Bouncer hitro vrže skozi vrata. Če aplikacija poskuša podatke o stiku pridobiti iz telefona, ki vključuje en vnos za enega Michelle.k.levin@gmail.com, se tudi aplikacija zažene. Bouncer tudi spremlja storitev SMS v primeru, da aplikacija skuša poslati nepooblaščena besedilna sporočila na številke z najvišjo stopnjo.



Ni mogoče zanikati, da gre za iznajdljiv način iskanja neprijetnih groženj, toda kot poudarja Duo Security, bi napadalci zlahka premagali Bouncerja v svoji igri.



Kako se lahko Bouncer zlomi

Duo Security se je iz svojega malega naleta na Bouncerja naučil ene pomembne lekcije: deluje le, kadar nihče ne pozna njegovega notranjega delovanja. Kot sem že omenil, sta Miller in Oberheide našla več načinov za odvzem prstnih odtisov v Bouncerjevem okolju. To pomeni, da bi avtor zlonamerne programske opreme lahko zgradil modul, ki začasno ustavi zlonamerno vedenje, ko zazna Bouncerja.

Ne da bi šli tako daleč, bi se avtorji zlonamerne programske opreme lahko izognili zaznavanju, če bi se igrali kul. Bouncer aplikacij ne zažene v nedogled; pravzaprav bo skeniral samo vsako aplikacijo, ki je naložena, približno 5 minut, preden jo razglasi za varno. Slabi fantje morajo za kratek čas le skriti svoje namene, da se izognejo optičnemu bralniku, kakršen obstaja zdaj.

ŠkoljkaSenčni ljudje, ki želijo izkoristiti vaš telefon, lahko preprosto naložijo neškodljivo aplikacijo, ki prenaša Bouncerja z letečimi barvami. Nato lahko sčasoma s posodobitvami Trgovine Play dodate komponente, ki omogočajo mirujoče zlonamerne funkcije. Očitno je to dolga prevara, toda za pravi izplačilo bi se morda splačalo.

Duo Security pravi, da je bil v stiku z Googlom, da bi popravil ranljivosti. Nekatere stvari je mogoče preprosto popraviti, na primer daljše skeniranje aplikacij ali spreminjanje privzetih informacij o računu. Toda druge, kot je zlahka zaznavno virtualizirano okolje, bo težje utrjevati pred napadi. Najboljša rešitev bi bila zagon aplikacij na resničnih napravah, toda logistika bi to lahko onemogočila.

Miller in Oberheide bosta konec tega tedna na SummerConu ponudila popoln demo vdora. Do takrat si Google verjetno močno prizadeva zapolniti luknje v Bouncerju, da se zaščiti pred novim valom zlonamerne programske opreme.