Bezpieczeństwo Androida zaorane. Aplikacje robią co chcą, pomimo braku uprawnień

1 października, 2019

Sześciu ekspertów z różnych uniwersytetów w pracy pt. „50 Ways to Leak Your Data: An Exploration of Apps’ Circumvention of the Android Permissions System” pokazali, że aplikacje pobrane z Google Play mogą, pomimo braku przyznanych uprawnień, ominąć zabezpieczenia i uzyskać dostęp do danych bez zgody użytkownika, używając ataków typu covert channels i side channels. W wyniku ataków system uprawnień pozwala aplikacjom uzyskać dostęp do chronionych danych i zasobów systemowych, a także komunikować się dwóm różnym aplikacjom — jedna aplikacja może udostępniać dane drugiej, która ma inne uprawnienia. Oba rodzaje ataków są nadużywane przez twórców oprogramowania umieszczanego w Google Play i mogą stanowić duże zagrożenie dla prywatności użytkownika.

System uprawnień w Androidzie

System uprawnień Androida opiera się na zasadzie — „jak najmniej”. Oznacza to, że oprogramowanie powinno posiadać takie i tylko takie uprawnienia, które są niezbędne do działania. Rozpatrując to na przykładzie szkodliwego oprogramowania, wprowadzone do systemu złośliwe modyfikacje będą minimalne, bo ograniczone do zaakceptowanych uprawnień. Programiści kompilując aplikację, muszą wcześniej określić, jakich uprawnień potrzebuje aplikacja, a użytkownik musi mieć możliwość przejrzenia żądanych uprawnień przy instalacji.

Niestety Android nie ocenia, czy wymagane uprawnienia są absolutnie konieczne do działania, dlatego twórcy szkodliwego oprogramowania mogą żądać więcej uprawnień niż faktycznie potrzebuje aplikacja. Na samym końcu tego łańcucha jest użytkownik, który musi ocenić, czy przyznawane pozwolenia są uzasadnione.

Side channek atak

Eksperci dokonali inżynierii wstecznej analizowanych aplikacji i bibliotek SDK. Odkryli szereg nieprawidłowości i nadużyć w postaci ataków typu covert channelsside channels. Na przykład aplikacja A, która uzyskała dostęp do IMEI telefonu i jednocześnie aplikacja B, która nie ma takich uprawnień, udostępniała te dane do aplikacji B za pośrednictwem odpowiednich interfejsów API Androida.

Aplikacje mogą również komunikować się za pomocą zewnętrznego serwera sieciowego w celu wymiany informacji, jeżeli ataki side channel i covert channel nie zadziałają lokalnie.

Badacze zgłosili swoje odkrycia do Google, za co otrzymali wynagrodzenie. Wnioski opisywane w raporcie z przeanalizowanych ponad 88 tysięcy aplikacji metodami statycznymi i dynamicznymi są następujące:

  • Znaleziono mnóstwo oprogramowania w Google Play, które próbuje identyfikować użytkownika np. uzyskując dane o adresie MAC oraz podłączonych sieciach Wi-Fi. Znaleziono łącznie 42 aplikacje wykorzystujące luki do uzyskania danych oraz ponad 12 tysięcy aplikacji z odpowiednim kodem, który umożliwia takie ataki.
  • Odkryto, że biblioteki firm chińskich np. Baidu i Salmonads wykorzystują kartę SD (dostęp przyznany do zapisu danych na karcie) do ataku side channels, aby zapisywać przechwycone numery IMEI.
  • Znaleziono też aplikację, która używała metadanych obrazu jako pomocnika do lokalizowania użytkownika.

Cała prezentacja dostępna jest pod adresem: https://www.usenix.org/conference/usenixsecurity19/presentation/reardon

Jeden z ekspertów zaprezentował odkrycia całej grupy na konferencji „USENIX Security ’19”. Obejrzeliśmy całe wystąpienie Joela Reardona. Linkujemy do ważnych fragmentów:

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
3 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]