Nowa podatność „Janus” — zagrożone są wszystkie smartfony z Androidem od 5.1.1 do 8.0

29 grudnia, 2017

Pracownicy z QuardSquare opisują nową podatność w systemie Android, która dotyczy wersji 5.1.1 do 8.0 włączanie. Zgłoszona luka w lipcu została już oznaczona identyfikatorem CVE-2017-13156 i po uruchomieniu instalatora APK pozwala modyfikować dowolną zainstalowaną aplikację (nawet systemową!) bez wpływu na integralność podpisu cyfrowego. Łatki zabezpieczające trafiły do grudniowych aktualizacji bezpieczeństwa Google. Oczywiście otrzymają je tylko nieliczni (ale to na pewno już wiecie). Tak naprawdę, podatność „Janus” dotyczy aż 74% smartfonów na runku i jest w podobnym stopniu krytyczna z punktu bezpieczeństwa, co podatność Blueborne, Stagefright, Metaphor lub Quadrooter.

Janus — plik APK nie jest tym za co się podaje

Badacze wyjaśniają, że aplikacje na Androida w rzeczywistości są plikami „ZIP” z rozszerzeniem „.APK” (Android Package Kit), więc da się je rozpakować za pomocą popularnych programów do dekompresji, np. WinRAR lub 7-ZIP. Podatność wynika z możliwości wprowadzenia dodatkowych bajtów dla pliku DEX (Dalvik Executable) w pliku APK.

ART view pl
Schemat działania środowiska Dalvik oraz jego następcy – ART.

Plik DEX da się wprowadzić do pliku APK bez wpływu na cyfrowy podpis. System Android „akceptuje” taką operację jako aktualizację wcześniejszej wersji aplikacji. Atakujący może to wykorzystać do ukrycia niebezpiecznego ładunku — który niestety nie będzie traktowany jako szkodliwy — lub do zaktualizowania aplikacji bez wiedzy dewelopera.

janus2
Trend Micro wyjaśnia, że umieszczenie złośliwego kodu w pliku DEX na początku pliku APK spowoduje uruchomienie wirusa w podatnych wersjach Androida.

Skoro plik APK jest traktowany jako archiwum ZIP, to możliwe jest dodanie dowolnych bajtów na początku pliku lub pomiędzy sekwencjami danych. Wirtualna maszyna (DalvikVM) odpowiedzialna za uruchamianie aplikacji w systemie Android najpierw ładuje plik APK, następnie wczytuje z niego plik DEX i uruchamia kod. Oznacza to, że wirtualna maszyna może załadować do pamięci i uruchomić niebezpieczny kod zawarty w pliku DEX.

Podatność została zgłoszona przez badaczy w lipcu 2017 roku. Aktualizacja bezpieczeństwa ukazała się kilka dni temu. Pracownicy Trend Micro znaleźli jedną próbkę złośliwego oprogramowania wykorzystującą podatność Janus. Złośliwa aplikacja została już usunięta ze sklepu Google Play.

Dzielenie pliku APK na części

Z plikami APK istniała jeszcze jedna sztuczka — autorzy złośliwego oprogramowania mogli wykorzystać buga w mobilnej przeglądarce Google Chrome w innym przypadku. Normalnie podczas ściągania pliku użytkownik musi zezwolić na pobieranie danych. Jednak plik APK może zostać podzielony na 1024-bajtowe kawałki będące przekazywanymi do funkcji zapisywania za pośrednictwem klasy Blob(). Teraz, bez wiedzy użytkownika, aplikacja zapisze się na urządzeniu kawałek po kawałku. Po pobraniu plik zostanie zrekonstruowany w złośliwą aplikację. Najsłabszym ogniwem tej sztuczki jest interakcja z użytkownikiem — bez zainstalowania programu trojan po prostu pozostanie na smartfonie w postaci niegroźnego pliku. Nie zmienia to jednak faktu, że technika pobrania zasobu ze zdalnego serwera na urządzenie mobilne (i to bez interakcji z użytkownikiem) została wykorzystana w prawdziwych atakach.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]