Omgå Googles Bouncer, Android’s anti-malware system

Som svar på det stadig større målet Android-operativsystemet presenterte for hackere, rullet Google ut 'Bouncer' anti-malware-systemet i februar 2012. Bouncer ble designet for å filtrere ut ondsinnede apper før de noen gang dukket opp i Android Market, som den ble kalt den gangen. Navnet endret seg til Google Play, men Bouncer fortsatte å tøffe med og beskyttet oss stille mot ormer og trojanske hester.

Google var lett på detaljene da den avslørte Bouncer, men nå har to sikkerhetsforskere fra Duo Security, Charlie Miller og Jon Oberheide, funnet en måte å få tilgang til Bouncer eksternt og utforske den fra innsiden. Det de fant viser at smarte malware-forfattere fremdeles kunne kaste telefonen din.



Hva Bouncer gjør

Gjennom 2011 var Google plaget av forekomster av Android-skadelig programvare dra nytte av utnyttelser i OS-koden. Det som var verre, noen ganger endte disse ondsinnede appene med å komme inn på Android Market. Det var apper som stjal kontakter, sporet tastetrykkene dine, og til og med de som samlet enorme regninger ved å sende tekstnumre til premiumnumre. Denne ubehagelige koden fløt vanligvis rundt på warez-fora, men utseendet i Play-butikken var ikke uhørt.



Google PlayGoogle har alltid tillatt utviklere å laste opp appene sine for å gjøre dem tilgjengelige umiddelbart. Men ettersom Android tiltok mer oppmerksomhet fra feil type mennesker, var det klart at noe måtte gjøres.

Resultatet var Bouncer, men Google valgte å snakke om det bare i de mest generelle vilkårene først. Bouncer ble designet for å legge til et nytt sikkerhetslag til Android uten å kreve at utviklere gjennomgår en kjedelig godkjenningsprosess som drives av squishy mennesker. Den kalde effektiviteten til en automatisert maskin er alt Google trenger.



I februar-kunngjøringen hevdes at Bouncer hadde kjørt stille i bakgrunnen i flere måneder, noe som resulterte i et 40% fall i potensielt skadelige apper i markedet. Når skanningen er fullført, vil bestikkende apper bli publisert på vanlig måte. Utviklere måtte bare lide gjennom noen få minutters forsinkelse. Det virket nesten som en magisk kule den gangen.

Som vi nå lærer, kan skadelig programvare som blir utslettet av Bouncer, ha vært frukten med lite hengende.

Hvordan Bouncer fungerer fra innsiden

Miller og Oberheide har prøvd Market / Play Store i noen tid i et forsøk på å lære mer om Bouncer. Forskerne klarte til slutt å ta en titt på spam-drapsmannen med en spesialkodet Android-app designet for å tillate ekstern tilgang for Duo Security. Bouncer er en virtuell telefon som emuleres på en Google-server. Da Bouncer lastet inn trojan-appen, var Miller og Oberheide i stand til å mate kommandoer med shell-kommandoer via en kommandolinje. Slik ble Bouncers hemmeligheter avslørt.



Systemet kjører en type virtualiseringsprogramvare kalt QEMU, som er et lett påvisbart flagg som kan fortelle en app det kjører på Bouncer. Kontoen som brukes til å registrere den virtuelle telefonen er også identisk, og gir en andre enkel måte å fingeravtrykk Bouncer på. Google har satt opp hver forekomst av sin virtuelle telefon med honeypots for å lokke skadelig programvare til å gjøre det de gjør best: stjele ting.

Cat BouncerDet er to bilder på Bouncer-telefonen; en av Lady Gaga og en av en katt. Hvis det oppdages en app som laster opp bildene til en ekstern server, gir Bouncer den et raskt spark ut døren. På samme måte, hvis en app prøver å høste kontaktinformasjonen fra telefonen, som inkluderer en enkelt oppføring for en Michelle.k.levin@gmail.com, blir også appen startet opp. Bouncer overvåker også SMS-tjenesten i tilfelle en app prøver å sende uautoriserte tekstmeldinger til premium-nummer.

Det kan ikke benektes at dette er en genial måte å skanne etter stygge trusler, men som Duo Security påpeker, kan angripere lett slå Bouncer i sitt eget spill.

Hvordan Bouncer kan brytes

Duo Security lærte en viktig leksjon fra den lille streiken til Bouncer: den fungerer bare når ingen kjenner dens indre funksjon. Som jeg skisserte, fant Miller og Oberheide ut flere måter å fingeravtrykke Bouncer-miljøet på. Det betyr at en forfatter av skadelig programvare kan bygge en modul som suspenderer ondsinnet atferd i en viss tid når Bouncer oppdages.

Uten å gå så langt, kan forfattere av malware unngå oppdagelse ved å spille det kult. Bouncer kjører ikke apper på ubestemt tid; faktisk vil den bare skanne hver app som lastes opp i omtrent 5 minutter før den erklærer den trygg. Skurkene trenger bare å holde intensjonene skjult i kort tid for å unngå skanneren slik den eksisterer nå.

SkallAlternativt kan de skyggefulle menneskene som ønsker å utnytte telefonen, bare laste opp en ufarlig app som passerer Bouncer med glans. Deretter kan komponenter over tid legges til via Play Store-oppdateringer som muliggjør sovende ondsinnede funksjoner. Tydeligvis er dette langvarige, men for riktig utbetaling kan det være verdt det.

Duo Security sier at det har vært i kontakt med Google for å få oppdaterte sårbarhetene. Noen ting kan være enkle å fikse, som å skanne apper over lengre tid, eller endre standard kontoinformasjon. Men andre, som det lett detekterbare virtualiserte miljøet, vil være vanskeligere å herde mot angrep. Den beste løsningen ville være å kjøre apper på ekte enheter, men logistikken kan gjøre det umulig.

Miller og Oberheide vil tilby en fullstendig demo av hacket på SummerCon senere denne uken. Inntil da jobber Google sannsynligvis hardt for å plugge hullene i Bouncer for å beskytte mot en ny bølge av skadelig programvare.

Copyright © Alle Rettigheter Reservert | 2007es.com