Chyby v softwaru a malware

Malware se učí aneb nová technika phishingu na Androidu

Týká se: Android platforma obecně

S novým principem malwaru přišli výzkumníci z Michiganské a Kalifornské univerzity a předvedli jej na USENIX security simposiu v San Diegu 23. srpna. I když zatím nevíme, co přesně bylo obsahem přednášky, máme k dispozici dokument popisující výzkum a princip vyvinutého softwaru. Umí se sám učit z Androidu a dokáže tak velmi důvěryhodně zobrazovat připravená okna určená k phishingu citlivých informací.

Útok UI state inference (česky asi útok odvozený ze stavu uživatelského rozhraní) využívá sdílené paměti GUI frameworku, která odhaluje změny stavu uživatelského rozhraní. Lidsky řečeno, pokud se v aplikaci objeví například nové okno nebo pole pro napsání uživatelského jména a hesla, ve sdílené paměti o tom bude záznam. Problém pro útočníka je však fakt, že je tento záznam obecný, dokonce tak obecný jako nula pro “nezměnu” a jedna pro změnu. Malware proto musí umět poznat typ nově zobrazené části rozhraní jinak.

K zachycení změny slouží podle výzkumu celkem čtyři různé identifikátory. První je tzv. událost metody vstupu (input method event), většinou se totiž při zobrazení okna pro psaní textu v systému automaticky spustí klávesnice (a to se dá určitým způsobem poznat). Druhý identifikátor je Content provider, kdy dochází k požadavkům na interní SQLite databázi. Další info lze získat monitorováním vytížení procesoru a síťovými událostmi. Když tohle všechno zkombinujete vhodným algoritmem dohromady, vytvoří se vám unikátní otisk změny uživatelského rozhraní. Stačí tuhle učící část malwaru nechat chvíli běžet v systému a během běžného používání uživatelem si malware opatří potřebná data. Pak dojde k útoku.

Druhá část softwaru již má na základě získaných dat ulehčenou práci. Spustíte bankovní aplikaci, kliknete na přihlášení a systém spustí okno pro zadání uživatelského jména a hesla. Malware na pozadí si v tu chvíli řekne, ha! tohle chování už znám, spustí své vlastní falešné okno, kam následně uživatel poslušně zadá své údaje a odešle je na server útočníka.

Pravděpodobnost, že se tohle všechno povede, je podle pánů z univerzit 92 % v případě androidí aplikace GMail. Úspěšní byli také v případě americké bankovní aplikace Chase bank, nejlépe dopadl Amazon, který měl úspěšnost útoku u své aplikace "pouhých" 48 %.

Velkou výhodou je plynulé fungování aplikace, člověk nemá podle publikovaných videí šanci si všimnout čehokoliv divného. Další plus je nízký počet požadovaných oprávnění v systému, kdy aplikace vyžaduje pouze síťovou práci (pro odesílání dat na server útočníků), nevzbuzuje tak podezření při instalaci. Na druhou stranu musí pro správné fungování útoku běžet na pozadí.

Výzkumníci publikovali jednak proof-of-concept video zaznamenávající citlivé údaje zadané do aplikace, ale také video demonstrující odeslání fotografie šeku (tato metoda platby je populární v USA) do bankovní aplikace. Během chvilky se objeví ukradená fotka na dalším zařízení.

Pokud dokáží útočníci přibalit tento malware k nějaké běžné aplikaci nebo hře, těžko s tím uživatel samotný bude něco dělat. Výzkum spíše cílí na samotný design GUI frameworku, který se bude muset do jisté míry pozměnit, aby takové útoky nebyly ve finále možné. Každopádně nám tento nápad z technického hlediska přijde velmi zajímavý a inspirativní.

Dopravní semafory se dají vzdáleně ovládnout, postrádají zabezpečení

Další tým z Michiganské univerzity si vzal na paškál semafory na amerických křižovatkách. Dlouhodobý výzkum ukazuje na několik kritických zranitelností v implementaci kontrolního systému včetně nešifrované komunikace, výchozích přihlašovacích údajů a veřejně přístupného portu pro ladění. Výzkumníkům se podařilo z jednoho místa získat kontrolu nad stovkou semaforů ve státě Michigan.

Aby se šetřily peníze, semafory s centrální jednotkou nekomunikují přes dedikovanou fyzickou kabeláž, ale přes bezdrátovou rádiovou technologii. Stejně to má zařízeno více než 40 amerických států. Systémy semaforů používají kombinaci 5.8GHz a 900MHz rádiového signálu v závislosti na stav křižovatek a komunikují v konfiguracích point-to-point nebo point-to-multipoint. 900MHz linky používají proprietární protokol, ale údajně není příliš rozdílný od 802.11n. Týmu se tak podařilo po odchycení komunikace a připojení přes debugging port do řídícího systému komunikaci rozklíčovat a napodobit. Následně pak mohli všechny semafory nastavit na červenou nebo pozměnit časování křižovatek. Údajně je možné také sejmout systém útokem odepření služby.

Celou proceduru provedli po svolení od lokální silniční agentury a budou kontaktovat také výrobce semaforů. Tým se chce ve finále zasadit o zabezpečení technologie, do té doby požaduje alespoň spolupráci ve formě změn výchozích přihlašovacích údajů na kontrolních prvcích.

Zajímavé odkazy:

Jak jsem hackoval svůj obývák (Securelist.com)

Americký ústav pro standardy vydal dokument plný rad pro implementace SSH

Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

• Hackeři dokáží vzdáleně ovládat auto, firmy jsou nepřipravené

• Síť Tor napadená novým útokem, šlo o nebezpečný výzkum?

• Microsoft nenavrtal Windows pro NSA, jaká je však realita?

Díly CDR Security Update SPECIÁL

• Jak jsme přišli o soukromí - IT bezpečnost 2013 - shrnutí a pohled do budoucna

• Laboratoř hackera - vaše lokální síť nemusí být bezpečná

• Chraňte lépe svůj Google účet pomocí dvouúrovňové autentizace