Более половины устройств Android уязвимы к удаленному управлению через поддельное приложение

Этот месяц, похоже, стал плохим для Google и команды безопасности Android, поскольку с начала месяца в Android OS были обнаружены серьезные уязвимости. Сначала это была уязвимость Stagefright, которая могла позволить хакерам вывести ваш смартфон из строя, просто отправив мультимедийное сообщение. Затем появилась уязвимость Silent Attack, которая была продолжением Stagefright и могла позволить хакерам удаленный доступ к Android-смартфону без согласия или ведома владельца.

Теперь команда исследований безопасности приложений IBM X-Force обнаружила еще одну критическую уязвимость в смартфонах и планшетах Android. Дефект, который затрагивает версии Android OS от 4.3 Jelly Bean до 5.1 Lollipop, а также последнюю версию Android M Preview 1, позволяет хакерам удаленно управлять целевым устройством.

Поскольку этот дефект затрагивает все устройства, работающие на Jelly Bean и выше, почти половина активных смартфонов в мире подвержена этой уязвимости. Уязвимость была названа уязвимостью сериализации Android и получила CVE-2015-3825.

Уязвимость сериализации Android позволяет вредоносному приложению без привилегий получить полный контроль над устройством через удаленное выполнение кода. Это означает, что хакеры могут заменить легитимное, доверенное приложение на похожее «Супер Приложение», чтобы обмануть пользователя и заставить его ввести личные данные.

Пелес из команды исследований безопасности приложений IBM X-Force объяснил в блоге, что эта уязвимость еще не была использована в дикой природе, но заявил, что «с правильным фокусом и инструментами вредоносные приложения могут обойти даже самых внимательных пользователей безопасности.»

«Эксплойт PoC, который мы создали, атакует процесс system_server с высокими привилегиями. Эксплуатация system_server позволяет повысить привилегии до системного пользователя с довольно расслабленным профилем SELinux (из-за множества обязанностей system_server), что позволяет злоумышленнику нанести большой ущерб. Например, злоумышленник может захватить любое приложение на устройстве жертвы, заменив пакет Android приложения (APK) целевого приложения. Это может позволить злоумышленнику выполнять действия от имени жертвы. Кроме того, мы смогли выполнять команды оболочки для эксфильтрации данных из всех приложений, установленных на устройстве, используя приложение Android Keychain. Мы также могли изменить политику SELinux и, на некоторых устройствах, загрузить вредоносные модули ядра.»

Как только вредоносное ПО выполняется, оно заменяет реальное приложение на поддельное, что позволяет злоумышленнику либо украсть конфиденциальную информацию из приложения, либо создать убедительную фишинговую атаку.

Пелес заявил, что его команда также обнаружила уязвимости в нескольких сторонних Android SDK, позволяя выполнять произвольный код, что может позволить злоумышленникам украсть конфиденциальную информацию из затронутых приложений.

«Обнаруженные уязвимости являются результатом способности злоумышленника контролировать значения указателей во время десериализации объектов в произвольном пространстве памяти приложений, что затем используется нативным кодом приложения, вызываемым сборщиком мусора (GC) времени выполнения», добавил он. Разработчики используют классы в платформе Android и SDK. Эти классы предоставляют функциональность для приложений – например, доступ к сети или камере телефона.» «Уязвимость, которую мы нашли, может быть использована вредоносным ПО через канал связи, который происходит между приложениями или службами. Поскольку информация разбивается и собирается обратно, вредоносный код вставляется в этот поток, эксплуатирует уязвимость на другом конце и затем захватывает устройство.»

Команда исследований X-Force уведомила Google, который уже выпустил патч для этой уязвимости. Исследования X-Force можно найти здесь.