Vzhledem k tomu, že Linux je open source projekt, je těžké najít bezpečnostní chyby v jeho zdrojovém kódu, protože tisíce uživatelů aktivně kontrolují a opravují. Díky tomuto proaktivnímu přístupu, i když je objevena chyba, je okamžitě opravena. To je důvod, proč bylo tak překvapivé, když v loňském roce byla objevena exploitace, která unikla přísné due diligence všech uživatelů za posledních 9 let. Ano, čtete to správně, ačkoliv byl tento objev objeven v říjnu 2016, existoval uvnitř kódu jádra Linuxu od posledních 9 let. Tento typ zranitelnosti, který je typem chyby v eskalaci privilegií, je znám jako zranitelnost Dirty Cow (katalogové číslo chyby jádra Linuxu - CVE-2016-5195).
Ačkoli tato chyba byla opravena pro Linux týden po jejím objevení, ponechala všechna zařízení Android zranitelná tímto zneužitím (Android je založen na linuxovém jádře). Android patched následoval v prosinci 2016, nicméně, kvůli roztříštěné povaze Android ekosystému, tam je ještě spousta Android zařízení, která neobdržela aktualizaci a zůstat zranitelný na to. Co je více děsivé, je, že nový Android malware přezdívaný ZNIU byl objeven jen pár dní zpět, který využívá zranitelnost Dirty Cow. V tomto článku se podrobně podíváme na zranitelnost Dirty Cow a na to, jak je zneužíván na Androidu škodlivým softwarem ZNIU.
Co je zranitelnost Dirty Cow?
Jak bylo uvedeno výše, zranitelnost Dirty Cow je typem zneužití eskalace privilegií, která může být použita k udělení privilegia superuživatelům komukoliv. Při použití této chyby zabezpečení může každý uživatel se zlovolným úmyslem udělit privilegium superuživatele, čímž má úplný přístup ke kořenovému zařízení. Získání kořenového přístupu k zařízení oběti poskytuje útočníkovi plnou kontrolu nad zařízením a může extrahovat všechna data uložená v zařízení, aniž by se uživatel stal moudřejším.
Co je to ZNIU a co s tím má špinavá kráva?
ZNIU je první zaznamenaný malware pro Android, který využívá zranitelnost Dirty Cow k útoku na zařízení Android. Malware používá zranitelnost Dirty Cow, aby získal přístup ke kořenovým zařízením. V současné době bylo zjištěno, že malware se skrývá ve více než 1200 hrách pro dospělé a pornografických aplikacích. V době publikování tohoto článku bylo zjištěno, že se jich týká více než 5000 uživatelů z 50 zemí.
Která zařízení Android jsou ohrožena ZNIU?
Po objevení zranitelnosti Dirty Cow (říjen 2016) vydala společnost Google v prosinci 2016 opravu, která tento problém vyřeší. Nicméně, patch byl vydán pro Android zařízení, která byla spuštěna na Android KitKat (4.4) nebo vyšší. Podle rozpadu distribuce Android OS Google, více než 8% smartphonů Android stále běží na nižších verzích Androidu. Z těch, kteří běží na Androidu 4.4 až Androidu 6.0 (Marshmallow), jsou bezpečná pouze ta zařízení, která přijala a nainstalovala prosincovou bezpečnostní opravu pro svá zařízení.
To je spousta Android zařízení, která mají potenciál být vykořisťována. Nicméně, lidé mohou mít útěchu ve skutečnosti, že ZNIU používá poněkud upravenou verzi zranitelnosti Dirty Cow, a proto bylo zjištěno, že je úspěšná pouze proti těm zařízením se systémem Android, které používají 64bitovou architekturu ARM / X86 . Nicméně, pokud jste vlastníkem Androidu, bylo by lepší zkontrolovat, zda jste nainstalovali opravu zabezpečení v prosinci.
ZNIU: Jak to funguje?
Poté, co uživatel stáhne nebezpečnou aplikaci, která byla infikována škodlivým softwarem ZNIU, při spuštění aplikace se škodlivý software ZNIU automaticky spojí a připojí se ke svým serverům příkazů a řízení (C&C), aby získal jakékoli aktualizace, pokud jsou k dispozici. Jakmile se sám aktualizuje, bude používat zneužití oprávnění (Dirty Cow) k získání kořenového přístupu k zařízení oběti. Jakmile má přístup ke kořenovému adresáři zařízení, sklízí informace o uživateli ze zařízení .
V současné době malware používá informace o uživateli, aby kontaktoval síťového operátora oběti tím, že vystupuje jako uživatel sám. Jakmile je autentizován, provede mikro-transakce založené na SMS a vybírá platbu prostřednictvím platební služby dopravce. Malware je dostatečně inteligentní, aby odstranil všechny zprávy ze zařízení po provedení transakcí. Oběť tak nemá o transakcích žádnou představu. Obecně se transakce provádějí za velmi malé částky (3 USD / měsíc). To je další opatření, které útočník přijal, aby zajistil, že oběti nebudou objevovat převody prostředků.
Po sledování transakcí bylo zjištěno, že peníze byly převedeny na fiktivní společnost se sídlem v Číně . Vzhledem k tomu, že transakce založené na dopravci nejsou oprávněny k převodu peněz na mezinárodní úrovni, budou tyto nelegální transakce trpět pouze uživatelé, kteří jsou postiženi v Číně. Uživatelé mimo Čínu však budou mít na svém zařízení stále nainstalovaný malware, který může být aktivován kdykoliv na dálku, což z nich dělá potenciální cíle. I když mezinárodní oběti netrpí nelegálními transakcemi, backdoor dává útočníkovi šanci vložit do zařízení další škodlivý kód.
Jak se zachránit před ZNIU Malware
Napsali jsme celý článek o ochraně vašeho zařízení Android před škodlivým softwarem, který si můžete přečíst kliknutím zde. Základní věcí je použít zdravý rozum a neinstalovat aplikace z nedůvěryhodných zdrojů. I v případě malwaru ZNIU jsme zjistili, že malware je dodáván do mobilu oběti, když instaluje pornografické nebo dospělé herní aplikace, které jsou vytvořeny nedůvěryhodnými vývojáři. Chcete-li chránit před tímto konkrétním malwarem, ujistěte se, že je zařízení na aktuální opravě zabezpečení společnosti Google. Využití bylo opraveno opravou zabezpečení z prosince (2016) od společnosti Google, takže každý, kdo má nainstalovanou opravu, je chráněn před škodlivým softwarem ZNIU. V závislosti na vašem výrobci OEM však nemusíte tuto aktualizaci obdržet, a proto je vždy lepší být si vědom všech rizik a přijmout nezbytná opatření z vaší strany. Opět platí, že vše, co byste měli a neměli dělat, aby vaše zařízení zachránit před napadením škodlivým softwarem, je uvedeno v článku, který je spojen výše.
Chraňte svůj Android před získáním infikovaných Malware
V posledních několika letech došlo k nárůstu útoků na malware na Android. Dirty Cow zranitelnost byla jeden z největších zneužití, který kdy byl objeven a vidět, jak ZNIU využívá tuto chybu zabezpečení je prostě hrozné. ZNIU je obzvláště znepokojující vzhledem k rozsahu zařízení, která ovlivňuje, a neomezené kontrole, kterou útočníkovi poskytuje. Pokud však víte o problémech a přijmete nezbytná bezpečnostní opatření, bude vaše zařízení před těmito potenciálně nebezpečnými útoky bezpečné. Takže nejprve se ujistěte, že aktualizujete nejnovější bezpečnostní opravy od Googlu, jakmile je získáte, a pak se držte dál od nedůvěryhodných a podezřelých aplikací, souborů a odkazů. Co si myslíte, že byste měli chránit své zařízení před útoky škodlivého softwaru. Dejte nám vědět své myšlenky na toto téma tím, že je upustíte v komentáři níže.