Mivel a Linux nyílt forráskódú projekt, nehéz megtalálni a biztonsági hibákat a forráskódjában, mivel több ezer felhasználó aktívan ellenőrzi és rögzíti ugyanazt. Ennek a proaktív megközelítésnek köszönhetően, még akkor is, ha egy hibát észlelnek, azonnal megtörténik. Éppen ezért meglepő volt, amikor tavaly felfedeztek egy kizsákmányolást, amely az elmúlt 9 év során minden felhasználó szűkös átvilágítását megszüntette. Igen, jól olvastad, bár a kizsákmányolást 2016 októberében fedezték fel, a Linux rendszermag kódjában az elmúlt 9 év óta létezett. Ez a fajta sebezhetőség, amely egyfajta kiváltsági eszkalációs hiba, úgynevezett Dirty Cow sebezhetőség (Linux kernel hibakatalógus száma - CVE-2016-5195).
Habár ez a biztonsági rés a felfedezés után egy héttel a Linuxra került, az összes Android-eszközt sebezhetővé tette ez a kizsákmányolás (az Android Linux kernelre épül). Az Android foltot 2016 decemberében követték, azonban az Android ökoszisztéma széttöredezett jellege miatt még mindig sok Android-eszköz van, amelyek nem kapták meg a frissítést, és továbbra is sebezhetőek maradnak. Ami még félelmetesebb, hogy egy új Android-kártevő, amelyet ZNIU-nak neveztek, csak néhány nap múlva fedezték fel, amely kihasználja a Dirty Cow sebezhetőségét. Ebben a cikkben mélyrehatóan megvizsgáljuk a Dirty Cow sebezhetőségét és azt, hogy a ZNIU rosszindulatú programjait hogyan bántalmazzák az Androidon.
Mi a Dirty Cow biztonsági rés?
Amint fentebb említettük, a Dirty Cow sebezhetőség egy olyan kiváltsági eszkaláció, amely kihasználhatja a szuperfelhasználói jogosultságot bárki számára. Alapvetően, ha ezt a biztonsági rést használjuk, bármely rosszindulatú szándékú felhasználó szuper-felhasználó jogosultságot adhat, ezzel teljes hozzáférést biztosítva az áldozat eszközéhez. Az áldozat eszközének gyökeres hozzáférésének megszerzése lehetővé teszi a támadó számára, hogy teljes körű ellenőrzést gyakoroljon az eszköz felett, és kivonhatja az eszközön tárolt összes adatot anélkül, hogy a felhasználó bármilyen bölcsebbé válna.
Mi a ZNIU és a mi piszkos tehén?
A ZNIU az Android első olyan rögzített kártevője, amely a Dirty Cow sebezhetőségét használja az Android-eszközök támadására. A rosszindulatú program a Dirty Cow sebezhetőségét használja, hogy gyökér hozzáférést szerezzen az áldozat eszközeihez. Jelenleg a kártékony program több mint 1200 felnőtt játék és pornográf alkalmazásban rejtőzködik. A cikk közzétételének időpontjában 50 országban több mint 5000 felhasználót találtak rá.
Melyik Android-készüléket érinti a ZNIU?
A Dirty Cow sebezhetőségének felfedezése után (2016. október) a Google 2016 decemberében kiadott egy javítást a probléma megoldására. Azonban a javítást az Android KitKat (4.4) vagy annál magasabb verziójú Android-eszközökre bocsátották ki . Az Android operációs rendszer által a Google által végzett megoszlás szerint az Android okostelefonok több mint 8% -a továbbra is az Android alacsonyabb verzióiban fut. Az Android 4.4-en futó Android 6.0-ra (Marshmallow) csak azok a készülékek biztonságosak, amelyek a decemberi biztonsági javítócsomagot fogadják és telepítették az eszközökre.
Ez egy csomó Android eszköz, amely kihasználható. Azonban az emberek nyugodtan vehetik fel azt a tényt, hogy a ZNIU a Dirty Cow sebezhetőségének valamivel módosított változatát használja, és így azt találták, hogy csak azoknak az Android készülékeknek az eredményessége, amelyek az ARM / X86 64 bites architektúrát használják . Mégis, ha Ön Android-tulajdonos, jobb lenne ellenőrizni, hogy telepítette-e a decemberi biztonsági javítást.
ZNIU: Hogyan működik?
Miután a felhasználó letöltött egy rosszindulatú alkalmazást, amely megfertőzte a ZNIU malware-t, az alkalmazás elindításakor a ZNIU kártevő automatikusan kapcsolatba lép a parancsnoki és vezérlési (C&C) szervereivel, hogy bármilyen frissítést kapjon, ha rendelkezésre áll. Amint frissítette magát, a kiváltsági eszkaláció (Dirty Cow) használatával kiaknázza az áldozat eszközének root hozzáférését. Miután root hozzáféréssel rendelkezett az eszközhöz, a felhasználó információt gyűjti a készülékről .
Jelenleg a rosszindulatú program a felhasználói információkat használja az áldozat hálózati szolgáltatójával való kapcsolatfelvételhez, mivel maga a felhasználó. A hitelesítés után SMS-alapú mikrotranzakciókat hajt végre és a fizetési szolgáltatást a fuvarozó fizetési szolgáltatásán keresztül gyűjti. A rosszindulatú szoftver elég intelligens ahhoz, hogy a tranzakciók megtörténte után az összes üzenetet törölje a készülékről. Így az áldozatnak nincs ötlete a tranzakciókról. Általában a tranzakciókat nagyon kis összegben hajtják végre ($ 3 / month). Ez egy újabb óvintézkedés, amelyet a támadó megtesz annak biztosítására, hogy az áldozat ne fedezze fel az alapátutalásokat.
A tranzakciók nyomon követése után megállapították, hogy a pénzt áthelyezték egy Kínában székhellyel rendelkező dummy cégre . Mivel a fuvarozó alapú tranzakciók nem jogosultak nemzetközi átutalásra, csak az érintett Kínában érintett felhasználók szenvednek az illegális tranzakcióktól. A Kínán kívüli felhasználók azonban továbbra is telepítik a rosszindulatú szoftvereket a készülékükre, amelyek távolról is aktiválhatók, így potenciális célpontok lehetnek. Még ha a nemzetközi áldozatok nem szenvednek az illegális tranzakcióktól, a hátsó ajtó lehetőséget ad a támadónak, hogy több rosszindulatú kódot adjon a készülékbe.
Hogyan mentse magát a ZNIU Malware-ből
Írtunk egy teljes cikket az Android-eszköz védelméről a rosszindulatú programok ellen, amelyeket itt olvashat. Az alapvető dolog az, hogy a józan ész, és ne telepítse az alkalmazásokat nem megbízható forrásokból. Még a ZNIU kártékony programja esetében is láttuk, hogy a rosszindulatú szoftvereket az áldozat mobiljainak szállítják, amikor pornográf vagy felnőtt játékprogramokat telepítenek, amelyeket nem megbízható fejlesztők készítenek. A konkrét malware elleni védelem érdekében győződjön meg róla, hogy a készülék az aktuális biztonsági javításban van a Google-tól. A kihasználást a Google decemberi (2016) biztonsági javításával javították, így bárki, aki ezt a javítást telepítette, biztonságban van a ZNIU kártevőtől. Mégis, az OEM-től függően előfordulhat, hogy nem kapta meg a frissítést, ezért mindig jobban tisztában kell lennie az összes kockázattal, és a szükséges elővigyázatosságot kell tennie. A fent hivatkozott cikkben megemlítjük azt is, hogy minden, amit meg kell tenned, és nem kell tenned, hogy megmentse a készüléket egy rosszindulatú szoftverrel való fertőzés megakadályozására.
Védje az Androidot a rosszindulatú programok megfertőzésétől
Az elmúlt néhány évben nőtt az Android elleni támadások. A Dirty Cow sebezhetőség az egyik legnagyobb kihasználtság, amit valaha is felfedeztek, és látta, hogy a ZNIU kihasználja ezt a biztonsági rést. A ZNIU különösen aggasztó, mert hatással van az eszközökre, valamint a támadó számára biztosított korlátozatlan irányításra. Ha azonban tisztában van a problémákkal, és megteszi a szükséges óvintézkedéseket, a készülék biztonságos lesz a potenciálisan veszélyes támadások ellen. Tehát először győződjön meg róla, hogy frissíti a legújabb biztonsági javításokat a Google-tól, amint megkapja őket, majd tartsa távol a nem megbízható és gyanús alkalmazásokat, fájlokat és hivatkozásokat. Mit gondol, mit kell tennie, hogy megvédje készülékét a rosszindulatú támadások ellen. Tudassa velünk a témával kapcsolatos gondolatait, ha azokat az alábbi megjegyzések részben hagyja le.
