Vulnerabilitate în sistemul de operare Android: Installer Hijacking

Articol postat de:

android hijacking

Recent, un grup de cercetători din cadrul companiei Palo Alto Networks a publicat un articol referitor la o vulnerabilitate a sistemului de operare Android, pe care au denumit-o Android Installer Hijacking, estimând că afectează aproape jumătate din utilizatorii curenți de Android.

Conform informațiilor publicate în articolul menționat, vulnerabilitatea a fost descoperită încă din Ianuarie 2014, până în prezent descoperitorii acesteia colaborînd cu Google și alți producători importanți de dispozitive bazate pe Android în vederea realizării și distribuirii de patch-uri de securitate care să elimine vulnerabilitatea respectivă.

Android este un sistem de operare destinat dispozitivelor mobile, în deosebi telefoane inteligente și tablete și este bazat pe nucleul de Linux. Acest sistem de operare a fost dezvoltat inițial de compania Google, iar apoi de consorțiul comercial Open Handset Alliance (OHA), compus din 48 de companii din domeniul hardware, software și telecomunicații, precum Google, HTC, Sony, Dell, Intel, Motorola, Qualcomm, Texas Instruments, Samsung Electronics, LG Electronics, T-Mobile și Nvidia.

Descriere

Vulnerabilitatea Android Installer Hijacking îi poate permite unui atacator să modifice sau să schimbe o aplicație Android, aparent sigură, cu o aplicație malițioasă (malware), pe timpul instalării, fără consimțământul utilizatorului.

Sistemul de operare Android suportă instalarea de aplicații din Google Play, dar și din alte surse (third-party app stores). Vulnerabilitatea Android Installer Hijacking afectează doar aplicațiile descărcate din sursele terțe, cele instalate din Google Play ne-fiind afectate.

La instalarea unei aplicații din Google Play, kit-ul de instalare (APK – Android Package) este descărcat într-o locație protejată din cadrul sistemului de fișiere. În schimb, în cazul aplicațiilor provenite din alte surse, APK-urile sunt de obicei descărcate într-o locație de stocare neprotejată, spre exemplu /sdcard/ și sunt instalate direct. Ambele scenarii de instalare a unei aplicații presupun utilizarea unei aplicații de sistem denumităPackageInstaller.

Vulnerabilitatea Installer Hijacking afectează doar aplicațiile ce sunt descărcate în locațiile de stocare neprotejate, deoarece spațiul de stocare protejat utilizat de Google Play nu poate fi accesat de către alte aplicații instalate.

Inițial, aplicația PackageInstaller pornește procesul de instalare prin analizarea fișierului APK și extragerea informațiilor esențiale despre aplicația ce urmează a fi instalată: denumire, icon și permisiunile de securitate solicitate de aplicație. Toate aceste informații sunt prezentate utilizatorului pe ecran prin intermediul PackageInstallerActivity, urmând ca acesta să confirme sau nu dacă este de acord cu instalarea aplicației prin apăsarea butonului “Next” sau “Cancel”. Acestă fază a procesului de instalare este cunoscută sub denumirea de “Time to Check”.

Dacă utilizatorul este de acord cu informațiile prezentate despre aplicație, va continua procesul de instalare prin apăsarea butonului “Next”, pentru a vizualiza lista detaliată a permisiunilor solicitate de aplicație și apoi va apăsa butonul “Install”, pentru continuarea instalării. După apăsarea butonului “Install” ne aflăm în faza procesului de instalare denumită “Time of Use”.

Vulnerabilitatea acestui proces de instalare constă în faptul că, în timp ce utilizatorul revizuiește informațiile despre aplicație, un atacator poate modifica sau chiar înlocui APK-ul ce urmează a fi instalat. Practic, în cadrul versiunilor de Android vulnerabile, aplicația PackageInstaller verifică aplicația ce urmează a fi instalată doar în faza “Time to Check” (în timp ce utilizatorul revizuiește informațiile despre aplicație), însă nu și în faza “Time of Use” (după ce utilizatorul a apăsat butonul “Install”).

În concluzie, în faza “Time of Use”, aplicația PackageInstaller poate instala de fapt o altă aplicație decât cea dorită de utilizator și cu un set complet diferit de permisiuni.

Impact

În acest moment cercetătorii au reușit exploatarea vulnerabilității Android Installer Hijacking pe versiunile deAndroid 2.3, 4.0.3-4.0.4, 4.1.X, și 4.2.x. De asemenea, unele versiuni de Android 4.3 distribuite de producătorii de dispozitive sunt vulnerabile. Spre exemplu, s-a reușit exploatarea vulnerabilității pe un telefon Samsung Galaxy S4 ce rulează Android 4.3 (versiunea Build JSS15J.I337UCUEMK2, din 16 Noiembrie 2013) și pe sistemul de operare Amazon Fire OS 13.3.2.5. Atât Samsung, cât și Amazon, au distribuit deja patch-uri de securitate pentru dispozitivele afectate.

Exploatarea acestei vulnerabilități nu presupune ca dispozitivele să fie root-ate, însă cele root-ate sunt mult mai ușor de exploatat.

Vulnerabilitatea a afectat aproximativ 89,4% din utilizatorii de Android începând din Ianuarie 2014 (când a fost descoperită) și aproximativ 49,5% din utilizatorii de Android începând cu Martie 2015.

Versiunile de Android 4.4 și mai recente au rezolvat această vulnerabilitate.

Măsuri de soluționare

Compania Palo Alto Networks a publicat în Google Play o aplicație care scanează și detectează dispozitivele vulnerabile la Android Installer Hijacking:

http://play.google.com/store/apps/details?id=com.paloaltonetworks.ctd.ihscanner

Utilizatorii și administratorii sunt încurajați să întreprindă următoarele măsuri:

  • Verificați dacă dispozitivele utilizate/administrate sunt vulnerabile;
  • Pe dispozitivele afectate de această vulnerabilitate instalați doar aplicații din Google Play;
  • Nu permiteți aplicațiilor instalate să acceseze logcat. Logcat este un log de sistem care poate fi utilizat pentru simplificarea și automatizarea procesului de exploatare a vulnerabilității;
  • Nu permiteți utilizatorilor să root-eze dispozitivele.
Sursa foto: http://securityaffairs.co
Sursa articolului: http://cert.gov.md/


Add Comment Register



Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *


*

Poți folosi aceste etichete HTML și atribute: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>