Apiet Google ļaunprātīgas programmatūras apkarošanas sistēmu Google Bouncer

Reaģējot uz arvien lielāko mērķi, kuru Android operētājsistēma prezentēja hakeriem, Google 2012. gada februārī ieviesa pret ļaunprātīgu programmatūru “Bouncer”. Bouncer tika izstrādāts, lai filtrētu ļaunprātīgas lietotnes, pirms tās jebkad parādījās Android Market, kā arī toreiz to sauca. Nosaukums tika mainīts uz Google Play, taču Bouncer turpināja ņurdēt, klusi pasargājot mūs no tārpiem un Trojas zirgiem.

Google atklāja detaļas, kad atklāja Bouncer, taču tagad divi Duo Security drošības pētnieki Čārlijs Millers un Jons Oberheide ir atraduši veidu, kā attālināti piekļūt Bouncer un izpētīt to no iekšpuses. Tas, ko viņi atrada, liecina, ka gudri ļaunprātīgas programmatūras autori joprojām var izmest jūsu tālruni.

Ko Bouncer dara

Visu 2011. gadu Google bija nomocīts ar Android ļaunprātīga programmatūra izmantojot OS koda izmantošanas priekšrocības. Kas bija vēl sliktāk, dažreiz šīs ļaunprātīgās lietotnes nonāca Android Market. Bija lietotnes, kas nozaga kontaktus, izsekoja jūsu taustiņsitienus, un pat tādas, kas iekrāja milzīgus rēķinus, nosūtot īsziņas par paaugstinātas maksas numuriem. Šis negaršīgais kods parasti peldēja ap warez forumiem, taču tā parādīšanās Play veikalā nebija nedzirdēta.

Google vienmēr ir ļāvis izstrādātājiem augšupielādēt savas lietotnes, lai tās nekavējoties būtu pieejamas. Bet, tā kā Android piesaistīja vairāk nepareizu cilvēku uzmanību, bija skaidrs, ka kaut kas jādara.

Rezultāts bija Bouncer, taču Google sākotnēji par to izvēlējās runāt tikai vispārīgākos terminos. Bouncer tika izveidots, lai Android pievienotu jaunu drošības slāni, neprasot izstrādātājiem iziet garlaicīgu apstiprināšanas procesu, ko vada smieklīgi cilvēki. Google ir nepieciešama tikai automatizētas mašīnas aukstā efektivitāte.

Februāra paziņojumā tika apgalvots, ka Bouncer vairākus mēnešus klusi darbojās fonā, kā rezultātā potenciāli ļaunprātīgas lietotnes tirgū samazinājās par 40%. Kad skenēšana ir pabeigta, ietošās lietotnes tiks publicētas parastajā veidā. Izstrādātājiem nācās ciest tikai dažu minūšu kavēšanos. Tajā laikā tā šķita gandrīz kā burvju lode.

Kā mēs tagad uzzinām, Bouncer iznīcinātā ļaunprātīgā programmatūra, iespējams, bija zemu karājošais auglis.

Kā Bouncer darbojas no iekšpuses

Millers un Oberheide kādu laiku ir pārbaudījuši Market / Play veikalu, cenšoties uzzināt vairāk par Bouncer. Pētniekiem galu galā izdevās palūrēt uz surogātpasta slepkavu ar īpaši kodētu Android lietotni, kas paredzēta, lai Duo Security nodrošinātu attālu piekļuvi. Atlēcējs ir virtuāls tālrunis, kas tiek atdarināts Google serverī. Kad Bouncer ielādēja Trojas lietotni, Millers un Oberheide varēja padot Bouncer čaulas komandas, izmantojot komandrindu. Tā tika atklāti Bouncer noslēpumi.

Sistēma darbojas ar virtualizācijas programmatūras veidu QEMU, kas ir viegli nosakāms karodziņš, kas varētu pateikt lietotnei, ka tā darbojas Bouncer. Arī virtuālā tālruņa reģistrēšanai izmantotais konts ir identisks, nodrošinot otru vienkāršu veidu, kā noņemt Bouncer pirkstu nospiedumus. Google ir izveidojis katru sava virtuālā tālruņa gadījumu ar medus podiem, lai pievilinātu ļaunprogrammatūru darīt to, kas vislabāk padodas: nozagt sīkumus.

Tālrunī Bouncer ir divas bildes; viena no Lady Gaga un viena no kaķiem. Ja tiek atklāta kāda lietotne, kas augšupielādē šos attēlus attālajā serverī, Bouncer dod iespēju ātri iziet no durvīm. Tāpat, ja lietotne mēģina iegūt tālruņa kontaktinformāciju, kas ietver vienu ierakstu vienam Michelle.k.levin@gmail.com, arī tā tiek palaista lietotne. Bouncer arī uzrauga SMS pakalpojumu gadījumā, ja lietotne mēģina nosūtīt nesankcionētas īsziņas uz paaugstinātas maksas numuriem.

Nevar noliegt, ka tas ir atjautīgs veids, kā meklēt nepatīkamus draudus, taču, kā norāda Duo Security, uzbrucēji varēja viegli pieveikt Bounceru savā spēlē.

Kā Bouncer var salauzt

Duo Security ir iemācījusies vienu svarīgu mācību no sava mazā mēģinājuma kļūt par Bouncer: tā darbojas tikai tad, ja neviens nezina tās iekšējo darbību. Kā es izklāstīju, Millers un Oberheide izdomāja vairākus veidus, kā atspoguļot Bouncer vidi. Tas nozīmē, ka ļaunprātīgas programmatūras autors varētu izveidot moduli, kas uz noteiktu laiku aptur ļaunprātīgu rīcību, kad tiek atklāts Bouncer.

Pat tik tālu nenonākot, ļaunprātīgas programmatūras autori varētu izvairīties no atklāšanas, spēlējot to forši. Atlēcējs nedarbina lietotnes bezgalīgi; Faktiski tā skenēs tikai katru lietotni, kas tiek augšupielādēta apmēram 5 minūtes, pirms tā tiek pasludināta par drošu. Ļaunajiem puišiem vienkārši īsu brīdi ir jāsaglabā nodomi, lai izvairītos no skenera, kāds tas ir tagad.

Alternatīvi, ēnainie ļaudis, kas vēlas izmantot jūsu tālruni, var vienkārši ielādēt nekaitīgu lietotni, kas iziet no Bouncer ar lidojošām krāsām. Tad laika gaitā komponentus var pievienot, izmantojot Play veikala atjauninājumus, kas iespējo snaudošās ļaunprātīgās funkcijas. Acīmredzot tas ir ilgs laiks, taču, lai iegūtu pareizu izmaksu, tas varētu būt tā vērts.

Duo Security saka, ka ir sazinājies ar Google, lai iegūtu ievainojamības. Dažas lietas var būt vienkārši labojamas, piemēram, lietotņu skenēšana uz ilgāku laika periodu vai noklusējuma konta informācijas mainīšana. Bet citiem, tāpat kā viegli nosakāmajai virtualizētajai videi, būs grūtāk izturēties pret uzbrukumu. Labākais risinājums būtu palaist lietotnes reālās ierīcēs, taču loģistika to var padarīt neiespējamu.

Millers un Oberheide vēlāk šonedēļ SummerCon piedāvās pilnu uzlaušanas demonstrāciju. Līdz tam Google, visticamāk, smagi strādā, lai aizkavētu Bouncer atveres, lai pasargātu no jauna ļaunprātīgas programmatūras viļņa.