CDR.cz - Vybráno z IT

CDR SecUpdate 34 - Androidům hrozí nebezpečí z nového útoku na bankovní aplikace

nepřehlédněte
Když počítačový útok obsahuje nějaký nový zajímavý nápad, máme jako techničtí nadšenci sklony útočníkům tak trochu fandit. Tohle je ten případ.

Chyby v softwaru a malware

Malware se učí aneb nová technika phishingu na Androidu

Týká se: Android platforma obecně

S novým principem malwaru přišli výzkumníci z Michiganské a Kalifornské univerzity a předvedli jej na USENIX security simposiu v San Diegu 23. srpna. I když zatím nevíme, co přesně bylo obsahem přednášky, máme k dispozici dokument popisující výzkum a princip vyvinutého softwaru. Umí se sám učit z Androidu a dokáže tak velmi důvěryhodně zobrazovat připravená okna určená k phishingu citlivých informací.

Útok UI state inference (česky asi útok odvozený ze stavu uživatelského rozhraní) využívá sdílené paměti GUI frameworku, která odhaluje změny stavu uživatelského rozhraní. Lidsky řečeno, pokud se v aplikaci objeví například nové okno nebo pole pro napsání uživatelského jména a hesla, ve sdílené paměti o tom bude záznam. Problém pro útočníka je však fakt, že je tento záznam obecný, dokonce tak obecný jako nula pro “nezměnu” a jedna pro změnu. Malware proto musí umět poznat typ nově zobrazené části rozhraní jinak.

Android Hijack 01

K zachycení změny slouží podle výzkumu celkem čtyři různé identifikátory. První je tzv. událost metody vstupu (input method event), většinou se totiž při zobrazení okna pro psaní textu v systému automaticky spustí klávesnice (a to se dá určitým způsobem poznat). Druhý identifikátor je Content provider, kdy dochází k požadavkům na interní SQLite databázi. Další info lze získat monitorováním vytížení procesoru a síťovými událostmi. Když tohle všechno zkombinujete vhodným algoritmem dohromady, vytvoří se vám unikátní otisk změny uživatelského rozhraní. Stačí tuhle učící část malwaru nechat chvíli běžet v systému a během běžného používání uživatelem si malware opatří potřebná data. Pak dojde k útoku.

Android Hijack 02

Druhá část softwaru již má na základě získaných dat ulehčenou práci. Spustíte bankovní aplikaci, kliknete na přihlášení a systém spustí okno pro zadání uživatelského jména a hesla. Malware na pozadí si v tu chvíli řekne, ha! tohle chování už znám, spustí své vlastní falešné okno, kam následně uživatel poslušně zadá své údaje a odešle je na server útočníka.

Pravděpodobnost, že se tohle všechno povede, je podle pánů z univerzit 92 % v případě androidí aplikace GMail. Úspěšní byli také v případě americké bankovní aplikace Chase bank, nejlépe dopadl Amazon, který měl úspěšnost útoku u své aplikace "pouhých" 48 %.

Android Hijack 03

Velkou výhodou je plynulé fungování aplikace, člověk nemá podle publikovaných videí šanci si všimnout čehokoliv divného. Další plus je nízký počet požadovaných oprávnění v systému, kdy aplikace vyžaduje pouze síťovou práci (pro odesílání dat na server útočníků), nevzbuzuje tak podezření při instalaci. Na druhou stranu musí pro správné fungování útoku běžet na pozadí.

Výzkumníci publikovali jednak proof-of-concept video zaznamenávající citlivé údaje zadané do aplikace, ale také video demonstrující odeslání fotografie šeku (tato metoda platby je populární v USA) do bankovní aplikace. Během chvilky se objeví ukradená fotka na dalším zařízení.

Android Hijack 04

Pokud dokáží útočníci přibalit tento malware k nějaké běžné aplikaci nebo hře, těžko s tím uživatel samotný bude něco dělat. Výzkum spíše cílí na samotný design GUI frameworku, který se bude muset do jisté míry pozměnit, aby takové útoky nebyly ve finále možné. Každopádně nám tento nápad z technického hlediska přijde velmi zajímavý a inspirativní.

Dopravní semafory se dají vzdáleně ovládnout, postrádají zabezpečení

Další tým z Michiganské univerzity si vzal na paškál semafory na amerických křižovatkách. Dlouhodobý výzkum ukazuje na několik kritických zranitelností v implementaci kontrolního systému včetně nešifrované komunikace, výchozích přihlašovacích údajů a veřejně přístupného portu pro ladění. Výzkumníkům se podařilo z jednoho místa získat kontrolu nad stovkou semaforů ve státě Michigan.

Aby se šetřily peníze, semafory s centrální jednotkou nekomunikují přes dedikovanou fyzickou kabeláž, ale přes bezdrátovou rádiovou technologii. Stejně to má zařízeno více než 40 amerických států. Systémy semaforů používají kombinaci 5.8GHz a 900MHz rádiového signálu v závislosti na stav křižovatek a komunikují v konfiguracích point-to-point nebo point-to-multipoint. 900MHz linky používají proprietární protokol, ale údajně není příliš rozdílný od 802.11n. Týmu se tak podařilo po odchycení komunikace a připojení přes debugging port do řídícího systému komunikaci rozklíčovat a napodobit. Následně pak mohli všechny semafory nastavit na červenou nebo pozměnit časování křižovatek. Údajně je možné také sejmout systém útokem odepření služby.

Celou proceduru provedli po svolení od lokální silniční agentury a budou kontaktovat také výrobce semaforů. Tým se chce ve finále zasadit o zabezpečení technologie, do té doby požaduje alespoň spolupráci ve formě změn výchozích přihlašovacích údajů na kontrolních prvcích.

Zajímavé odkazy:

Jak jsem hackoval svůj obývák (Securelist.com)

Americký ústav pro standardy vydal dokument plný rad pro implementace SSH


Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

Díly CDR Security Update SPECIÁL

Jiří Moos (Google+)

Jirka Moos je redaktor CDR.cz a DIIT.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR/DIIT.

více článků, blogů a informací o autorovi

Diskuse ke článku CDR SecUpdate 34 - Androidům hrozí nebezpečí z nového útoku na bankovní aplikace

Žádné komentáře.