Samson Garrison
0 
2035
65
Din moment ce Linux este un proiect open source, este greu să găsești defecte de securitate în codul său sursă, deoarece mii de utilizatori continuă să verifice și să remedieze în mod activ același lucru. Datorită acestei abordări proactive, chiar și atunci când este descoperit un defect, acesta este patchiat imediat. De aceea, a fost atât de surprinzător când a fost descoperită o exploatare anul trecut, care a scăpat de diligența riguroasă a tuturor utilizatorilor în ultimii 9 ani. Da, ai citit-o corect, deși exploit-ul a fost descoperit în octombrie 2016, acesta a existat în interiorul codului kernelului Linux încă din ultimii 9 ani. Acest tip de vulnerabilitate, care este un tip de eroare de escaladare a privilegiilor, este cunoscut sub numele de Vulnerabilitatea Dirty Cow (număr de catalog al kernel bug - CVE-2016-5195).
Deși această vulnerabilitate a fost corecată pentru Linux la o săptămână după descoperirea sa, a lăsat toate dispozitivele Android vulnerabile la această exploatare (Android este bazat pe kernel Linux). Cu toate acestea, Android a urmărit în decembrie 2016, datorită naturii fragmentate a ecosistemului Android, există încă o mulțime de dispozitive Android care nu au primit actualizarea și rămân vulnerabile. Ceea ce este mai înfricoșător este faptul că un nou malware Android denumit ZNIU a fost descoperit la doar câteva zile în urmă, care exploatează vulnerabilitatea Dirty Cow. În acest articol, vom analiza în profunzime vulnerabilitatea Dirty Cow și modul în care este abuzată pe Android de malware-ul ZNIU.
Care este vulnerabilitatea vacilor murdare?
Așa cum am menționat mai sus, vulnerabilitatea Văii murdare este un tip de exploatarea privilegiilor exploate care poate fi obișnuit acordați privilegiul super-utilizator catre oricine. Practic, prin utilizarea acestei vulnerabilități, orice utilizator cu intenție rău intenționată își poate acorda un privilegiu super-utilizator, având astfel un acces rădăcină complet la dispozitivul victimei. Obținerea accesului rădăcină la dispozitivul unei victime oferă atacatorului un control complet asupra dispozitivului și el poate extrage toate datele stocate pe dispozitiv, fără ca utilizatorul să devină mai înțelept.
Ce este ZNIU și ce are de-a face cu vaca murdară?
ZNIU este primul malware înregistrat pentru Android care utilizează vulnerabilitatea Dirty Cow pentru a ataca dispozitivele Android. Programul malware folosește vulnerabilitatea Dirty Cow pentru a obține acces rădăcină la dispozitivele victimei. În prezent, malware-ul a fost detectat ca ascuns în peste 1200 de aplicații de jocuri și pornografie pentru adulți. În momentul publicării acestui articol, peste 5000 de utilizatori din 50 de țări s-au dovedit a fi afectați de acesta.
Ce dispozitive Android sunt vulnerabile la ZNIU?
După descoperirea vulnerabilității Văii murdare (octombrie 2016), Google a lansat o corecție în decembrie 2016 pentru a remedia această problemă. Însă patch-ul a fost lansat pentru dispozitivele Android care rulau pe Android KitKat (4.4) sau deasupra. Conform destrămării distribuției sistemului de operare Android de către Google, mai mult de 8% din smartphone-urile Android rulează în continuare pe versiunile inferioare ale Android. Dintre cele care rulează pe Android 4.4 până la Android 6.0 (Marshmallow), numai acele dispozitive sunt în siguranță, care au primit și au instalat corecția de securitate din decembrie pentru dispozitivele lor.
Este vorba despre o mulțime de dispozitive Android care pot fi exploatate. Cu toate acestea, Oamenii se pot bucura de faptul că ZNIU folosește o versiune oarecum modificată a vulnerabilității Dirty Cow și, prin urmare, s-a dovedit că are succes doar împotriva dispozitivelor Android care utilizează ARM / X86 arhitectură pe 64 de biți. Totuși, dacă sunteți proprietar de Android, ar fi mai bine să verificați dacă ați instalat corecția de securitate din decembrie.
ZNIU: Cum funcționează?
După ce utilizatorul a descărcat o aplicație dăunătoare care a fost infectată cu malware ZNIU, atunci când lansează aplicația, aplicația Programul malware ZNIU va contacta automat și se va conecta la comanda și controlul său (C&C) servere pentru a obține orice actualizări, dacă sunt disponibile. Odată ce s-a actualizat, va folosi exploatarea de escaladare a privilegiilor (Dirty Cow) pentru a obține accesul rădăcină la dispozitivul victimei. Odată ce va avea acces root la dispozitiv, va face acest lucru recoltați informațiile utilizatorului de pe dispozitiv.
În prezent, programul malware utilizează informațiile utilizatorului pentru a contacta operatorul de rețea al victimei, prezentându-se ca utilizator însuși. Odată autentificat, se va efectua Micro-tranzacții bazate pe SMS și colectați plata prin serviciul de plată al transportatorului. Programul malware este suficient de inteligent pentru a șterge toate mesajele de pe dispozitiv după ce au avut loc tranzacțiile. Astfel, victima nu are nici o idee despre tranzacții. În general, tranzacțiile sunt efectuate pentru sume foarte mici (3 USD / lună). Aceasta este o altă precauție luată de atacator pentru a se asigura că victima nu descoperă transferurile fondului.
După urmărirea tranzacțiilor, s-a constatat că banii au fost transferați către o companie de manechin cu sediul în China. Întrucât tranzacțiile bazate pe transportatori nu sunt autorizate să transfere bani pe plan internațional, numai utilizatorii afectați în China vor suferi de aceste tranzacții ilegale. Cu toate acestea, utilizatorii din afara Chinei vor avea în continuare malware instalat pe dispozitivul lor, care poate fi activat oricând de la distanță, ceea ce le face potențiale ținte. Chiar dacă victimele internaționale nu suferă de tranzacții ilegale, partea din spate oferă atacatorului șansa de a injecta mai multe coduri rău intenționate în dispozitiv.
Cum să te salvezi de Malware-ul ZNIU
Am scris un articol întreg despre protejarea dispozitivului Android de malware, pe care îl puteți citi făcând clic aici. Lucrul de bază este să folosiți bunul simț și să nu instalați aplicațiile din surse de încredere. Chiar și în cazul malware-urilor ZNIU, am văzut că malware-ul este livrat pe telefonul mobil al victimei atunci când instalează aplicații de jocuri pornografice sau pentru adulți, realizate de dezvoltatori neîncredători. Pentru a vă proteja împotriva acestui malware specific, asigurați-vă că dispozitivul dvs. este pe actualul patch de securitate de la Google. Exploitarea a fost corecată cu corecția de securitate din decembrie (2016) de la Google, prin urmare, oricine are instalat acel patch este în siguranță de malware-ul ZNIU. Totuși, în funcție de OEM-ul dvs., este posibil să nu fiți primit actualizarea, prin urmare, este întotdeauna mai bine să fiți conștienți de toate riscurile și să luați măsurile de precauție necesare din partea dvs. Din nou, tot ce trebuie și nu ar trebui să faci pentru a salva dispozitivul de a se infecta cu un malware este menționat în articolul care este legat mai sus.
VEZI DE asemenea: Malwarebytes pentru Mac Review: Ar trebui să-l utilizați?
Protejați-vă Android-ul de a vă infecta de malware
În ultimii doi ani s-a înregistrat o creștere a atacurilor malware pe Android. Vulnerabilitatea Dirty Cow a fost una dintre cele mai mari exploatări care a fost descoperită vreodată și a vedea cum ZNIU exploatează această vulnerabilitate este doar îngrozitor. ZNIU este deosebit de îngrijorător din cauza amploării dispozitivelor pe care le impactează și a controlului nefondat pe care îl acordă atacatorului. Cu toate acestea, dacă sunteți la curent cu problemele și luați măsurile de precauție necesare, dispozitivul dvs. nu va fi ferit de aceste atacuri potențial periculoase. Așadar, mai întâi asigurați-vă că actualizați cele mai recente corecții de securitate de la Google imediat ce le obțineți, apoi păstrați-vă departe de aplicații, fișiere și link-uri suspecte și de încredere. Ce credeți că ar trebui să protejați dispozitivul împotriva atacurilor malware. Vă rugăm să ne cunoaștem gândurile despre acest subiect, aruncându-le în secțiunea de comentarii de mai jos.