Эксплуатация политики одного источника (SOP) Android позволяет хакерам захватывать ваши аккаунты Facebook

Table Of Contents

• Эксплуатация политики одного источника (SOP) Android используется для захвата аккаунтов Facebook
• Ошибка

Эксплуатация политики одного источника (SOP) Android используется для захвата аккаунтов Facebook

Ошибка политики одного источника (SOP) Android, обнаруженная пакистанским исследователем Рафаем Балочем, используется гораздо шире, согласно новым исследованиям, опубликованным лабораторией TrendMicro. Исследователь Trend Micro, Симон Хуан, говорит, что они обнаружили множество случаев, когда пользователи Facebook стали жертвами атак, использующих этот недостаток в веб-браузере Android OS ниже 4.4, потому что код Metasploit доступен публично, и многие производители Android еще не устранили эту ошибку.

Ошибка

Ошибка, обнаруженная Рафаем Балочем, позволяет использовать универсальную уязвимость межсайтового скриптинга (UXSS) в старых версиях смартфонов Android. Эта уязвимость, которая затрагивает компонент WebView, возникает при замене атрибута ‘data’ данного HTML-объекта на схему URL JavaScript. Злоумышленник может использовать недостаток UXSS для сбора данных cookie и содержимого страниц из уязвимого окна браузера. Данная уязвимость может быть использована во всех версиях браузера Android Open Source Platform (AOSP), включая те, которые используют WebView.

Rapid7 опубликовала код Metasploit (ссылка указана выше) для этого недостатка, и он используется злоумышленниками для доставки жертвам вредоносного файла JavaScript, хранящегося в облачном хранилище. Это делается путем перенаправления цели на определенную страницу Facebook, которая ведет к вредоносному месту. Исследователь Trend, Хуан, говорит, что страница содержит обфусцированный JavaScript-код, который пытается загрузить URL Facebook во внутреннем фрейме.

Тем не менее, жертва видит только пустую страницу, загружаемую в соответствии с тегами div, установленными злоумышленником в HTML, в то время как внутренний фрейм будет показан в один пиксель.

Хуан говорит, что с установленным вредоносным ПО злоумышленник может делать почти все, что угодно с аккаунтом Facebook жертвы. JavaScript-код может выполнять следующие действия с аккаунтом Facebook жертвы:

• Добавлять друзей
• Нравиться и подписываться на страницы Facebook
• Изменять подписки
• Авторизовать приложение Facebook для доступа к публичному профилю пользователя, списку друзей, информации о дне рождения, лайкам и лайкам друзей
• Украсть токены доступа жертвы и загрузить их на свой сервер по адресу https://{BLOCKED}martforchristmas.website/walmart/j/index.php?cid=544fba6ac6988&access_token= $token;
• Собирать аналитические данные (такие как местоположение жертвы, HTTP реферер и т. д.) с использованием легитимного сервиса по адресу https://whos.{BLOCKED}ung.us/pingjs/
• В дополнение к коду на вышеуказанном сайте, Trend обнаружил аналогичную атаку на https://www.{BLOCKED}php.com/x/toplu.php. Исследователи Trend считают, что оба они созданы одним и тем же автором, поскольку они имеют несколько общих имен функций, а также client_id приложения Facebook.

Исследователи Trend Micro обнаружили, что client_id, связанный с этим вредоносным ПО, был “2254487659”. Это официальное приложение BlackBerry, поддерживаемое BlackBerry.

Trend Micro затем связалась с BlackBerry по поводу своих находок. Они сообщили BlackBerry, что злоумышленники хотели использовать доверие к имени BlackBerry, и вредоносное ПО пыталось украсть токены доступа пользователей, которые могут быть использованы для запросов к API Facebook и чтения информации о пользователе или публикации контента в Facebook от имени жертвы. BlackBerry выпустила следующее заявление после обращения Trend:

“Мобильное вредоносное ПО, использующее эксплуатацию SOP Android (обход политики одного источника Android), предназначено для нацеливания на пользователей Facebook независимо от платформы их мобильного устройства. Однако оно пытается воспользоваться доверием к бренду BlackBerry, используя наше веб-приложение Facebook. BlackBerry постоянно работает с Trend Micro и Facebook для обнаружения и смягчения этой атаки. Обратите внимание, что проблема не является результатом эксплуатации аппаратного, программного обеспечения или сети BlackBerry.”

На данный момент Trend Micro, Facebook и BlackBerry работают вместе, чтобы обнаружить атаку и предотвратить ее осуществление против новых пользователей.

Ошибка SOP Android существует с сентября 2014 года, и все устройства Android до Android 4.4 KitKat уязвимы к этому недостатку. Существует миллионы смартфонов Android, работающих на старых версиях Android OS, которые могут быть использованы для эксплуатации этой ошибки и осуществления незаконной деятельности киберпреступниками. Большинство дешевых смартфонов работают на старых версиях Android, что значительно облегчает задачу киберпреступников. Если вы владелец смартфона Android, обновите свой смартфон до последней версии Android 5.1 Lollipop как можно скорее. Если вы все еще используете смартфон на устаревшей версии Android, сейчас самое время избавиться от него.