Группа исследователей в сфере информационной безопасности из
государственного университета штата Северная Каролина обнаружила возможность
перенаправления нажатий на сенсорном экране Android-аппаратов для внедрения
руткитов. Группа, которую возглавляет Сюйсянь Цзян (Xuxian Jiang) разработала
экспериментальный вирус для проверки своего открытия. В результате этот вирус с
помощью техники, известной под названием «clickjacking» («угон кликов»), смогла
внедрить на аппарат специальный модуль, который не только меняет поведение
системы вредоносным образом, но и скрывается от обнаружения стандартными
средствами.
Группа профессора Цзяна разработала свой экспериментальный
руткит для проверки своих догадок об уязвимости популярной мобильной платформы Android
на прикладном уровне — само ядро осталось незатронутым. Использованная
«брешь» была открыта в ходе более общего исследования по уровню защищенности
разных смартфонов.
Созданный учеными руткит, который можно внедрять во вполне
благонадежные приложения, не обнаруживается стандартными антивирусами — по
крайней мере, так заявляют авторы. При установке зараженного приложения
злоумышленник может подменить стандартный браузер смартфона на свою версию,
которая будет перехватывать нажатия кнопок, собирать данные банковских карт
пользователя, а затем передавать их на подконтрольный хакерам сервер. Как
показывает демонстрация технологии, с помощью такого инструмента можно
подменить любое или даже все приложения на смартфоне.
По данным ученых, уязвимость, связанная с перехватом
нажатий, присутствует как в новейшей версии Android 4.0.4 (Ice Cream Sandwich),
так и в более ранних релизах. Механизм атаки, названной «переадресация
пользовательского интерфейса», подразумевает, что пользователь устанавливает
вредоносное ПО, думая, что соглашается с каким-то другим действием системы,
причем установка выполняется без перезагрузки. Кроме того, для установки не
нужны дополнительные разрешения и получение прав суперпользователя «Root».
Наконец, на уровне ядра операционной системы никаких изменений не вносится.
По словам разработчиков, вновь открытый тип атаки на
мобильные устройства отличается от тех, что встречались ранее, высоким уровнем
скрытности и опасности. Интересно, что сама разработка руткита не вызвала
сложностей у авторов, однако, ни один существующий антивирус пока не способен
распознать угрозу в опасных действиях при установке приложений, зараженных этим
руткитом. Теперь, когда потенциальная проблема выявлена и четко описана,
специалисты могут начать работу по нейтрализации новой угрозы. Кстати,
профессор Цзян является одним из основателей запущенного в мае этого года
проекта Android Malware Genome Project по коллективному выявлению и описанию
всех существующих угроз для Android. Подробнее о новой работе Цзяна и его
коллег можно прочитать в их блоге по адресу web.ncsu.edu/abstract/technology/wms-jiang-clickjack.
По материалам сайта The Register.
|
