Keďže Linux je projekt s otvoreným zdrojovým kódom, je ťažké nájsť bezpečnostné chyby vo svojom zdrojovom kóde, pretože tisíce používateľov aktívne neustále kontrolujú a opravujú to isté. V dôsledku tohto proaktívneho prístupu, aj keď je objavená chyba, je okamžite opravená. Preto bolo to tak prekvapujúce, keď sa objavil minulý rok zneužívanie, ktoré uniklo dôslednej náležitej starostlivosti všetkých používateľov za posledných deväť rokov. Áno, správne si to prečítali, hoci exploit bol objavený v októbri 2016, existovalo to vnútri kódu Linuxového jadra od posledných 9 rokov. Tento typ zraniteľnosti, ktorý je typom chyby eskalácie privilégií, je známy ako zraniteľnosť Dirty Cow (katalógové číslo chyby jadra Linuxu - CVE-2016-5195).
Hoci táto chyba bola patchovaná pre Linux týždeň po jej objavení, ponechala všetky zariadenia Android zraniteľné voči tomuto zneužitiu (Android je založený na jadre Linuxu). Android patche nasledoval v decembri 2016, avšak kvôli rozdrobenému charakteru systému Android, stále existuje veľa zariadení s Androidom, ktoré nedostali aktualizáciu a sú na ňu stále zraniteľné. Čo je ešte desivejšie, že nový malware s názvom Android, nazvaný ZNIU, bol odhalený len pár dní späť, čo využíva zraniteľnosť Dirty Cow. V tomto článku sa budeme podrobne zaoberať zraniteľnosťou "Dirty Cow" a spôsob, akým zneužíva Android škodlivým softvérom ZNIU.
Čo je zraniteľnosť zriedkavej kravy?
Ako sme uviedli vyššie, zraniteľnosť Dirty Cow je druh privilégia eskalácie exploit, ktorý môže byť použitý na udelenie privilegia pre super užívateľov . V podstate sa môže pomocou tejto chyby zabezpečiť každý používateľ so škodlivým zámerom, ktorý môže získať privilegiu pre super používateľov, čím má úplný prístup k zariadeniu obete. Získanie koreňového prístupu k zariadeniu obete poskytuje útočníkovi úplnú kontrolu nad zariadením a môže extrahovať všetky dáta uložené na zariadení bez toho, aby sa používateľ stal múdrejším.
Čo je to ZNIU a čo má za to špinavá krava?
ZNIU je prvý zaznamenaný malware pre Android, ktorý využíva zraniteľnosť Dirty Cow na napadnutie zariadení Android. Malware používa zraniteľnosť Dirty Cow, aby získala prístup k zariadeniam obete. V súčasnosti bol detekovaný škodlivý softvér, ktorý sa skrýva vo viac ako 1200 hračkách pre dospelých a pornografických aplikáciách. V čase publikovania tohto článku sa zistilo, že viac ako 5000 používateľov v 50 krajinách je postihnutých.
Ktoré zariadenia so systémom Android sú v ZNIU zraniteľné?
Po zistení zraniteľnosti Dirty Cow (október 2016) spoločnosť Google vydala v decembri 2016 opravu, aby tento problém vyriešila. Náplasť bola však uvoľnená pre zariadenia Android, ktoré boli spustené v systéme Android KitKat (4.4) alebo vyššie. Podľa rozpadu distribúcie operačného systému Android OS od spoločnosti Google stále funguje viac ako 8% smartfónov so systémom Android na nižších verziách systému Android. Z tých, ktoré sú spustené v systéme Android 4.4 na Android 6.0 (Marshmallow), sú iba tie zariadenia, ktoré sú bezpečné, ktoré dostali a nainštalovali bezpečnostnú opravu v decembri pre svoje zariadenia.
To je veľa zariadení Android, ktoré majú potenciál byť vykorisťovaný. Ľudia však môžu byť spokojní so skutočnosťou, že ZNIU používa trochu upravenú verziu zraniteľnosti Dirty Cow, a preto sa zistilo, že je úspešná iba proti zariadeniam Android, ktoré používajú 64-bitovú architektúru ARM / X86 . Napriek tomu, ak ste vlastníkom Androidu, lepšie by ste si mali overiť, či ste nainštalovali bezpečnostnú opravu v decembri alebo nie.
ZNIU: Ako to funguje?
Keď používateľ stiahne škodlivú aplikáciu, ktorá bola infikovaná škodlivým softvérom ZNIU, pri spustení aplikácie sa malware ZNIU automaticky skontaktuje a pripája k svojim serverom príkazov a riadenia (C & C), aby získali akékoľvek aktualizácie, ak sú k dispozícii. Akonáhle sa sám aktualizuje, využije využívanie privilégií eskalácie (Dirty Cow) na získanie koreňového prístupu k zariadeniu obete. Akonáhle bude mať prístup k zariadeniu root, bude zozbierať informácie používateľa zo zariadenia .
V súčasnosti škodlivý softvér používa informácie o používateľovi na kontaktovanie sieťového operátora obete tým, že sa sám ako užívateľ sám. Po overení bude uskutočňovať mikroprogramy založené na SMS a vyberá platbu prostredníctvom platobnej služby dopravcu. Malware je dostatočne inteligentný na odstránenie všetkých správ zo zariadenia po uskutočnení transakcií. Obete teda netuší o transakciách. Vo všeobecnosti sa transakcie uskutočňujú za veľmi malé sumy (3 USD / mesiac). Toto je ďalšie opatrenie, ktoré prijal útočník, aby sa zabezpečilo, že obeť nepozná prevody prostriedkov.
Po sledovaní transakcií sa zistilo, že peniaze boli prevedené na fiktívnu spoločnosť so sídlom v Číne . Keďže transakcie založené na operátoroch nie sú oprávnené na medzinárodné prevody peňazí, tieto nelegálne transakcie budú trpieť iba používatelia postihnutí v Číne. Používatelia mimo Číny však naďalej nainštalujú na svojom zariadení škodlivý softvér, ktorý je možné kedykoľvek aktivovať vzdialene, čím sa stanú potenciálnymi cieľmi. Dokonca aj v prípade, že medzinárodné obete netrpia nelegálnymi transakciami, backdoor dá útočníkovi možnosť vniesť viac škodlivého kódu do zariadenia.
Ako sa chrániť pred škodlivým softvérom ZNIU
Napísali sme celý článok o ochrane vášho zariadenia Android pred škodlivým softvérom, ktorý si môžete prečítať kliknutím tu. Základnou vecou je používať zdravý rozum a nie inštalovať aplikácie z nedôveryhodných zdrojov. Aj v prípade škodlivého softvéru ZNIU sme zistili, že škodlivý softvér je dodávaný mobilnému zariadeniu obete pri inštalácii pornografických aplikácií alebo aplikácií pre dospelých, ktoré robia nedôveryhodní vývojári. Ak chcete chrániť tento konkrétny škodlivý softvér, skontrolujte, či je vaše zariadenie na aktuálnej opravnej verzii zabezpečenia od spoločnosti Google. Využitie bolo opravené bezpečnostnou opravou v decembri (2016) od spoločnosti Google, preto každý, kto má túto opravu nainštalovaný, je bezpečný pred škodlivým softvérom ZNIU. Napriek tomu, v závislosti od OEM, pravdepodobne ste nedostali aktualizáciu, preto je vždy lepšie si uvedomiť všetky riziká a prijať potrebné opatrenia z vašej strany. Opäť platí, že všetko, čo by ste mali a nemali urobiť, aby ste zabránili infikovaniu škodlivého softvéru zo zariadenia, sa uvádza v článku, ktorý je prepojený vyššie.
Chráňte svoje zariadenie Android pred infikovaným škodlivým softvérom
V posledných niekoľkých rokoch došlo k nárastu útokov škodlivého softvéru na systém Android. Zraniteľnosť Dirty Cow bola jedným z najväčších zneužívaní, ktoré sa kedy objavila, a vidieť, ako ZNIU využíva túto zraniteľnosť, je len strašná. ZNIU je obzvlášť znepokojujúce z dôvodu rozsahu zariadení, ktoré ovplyvňuje, a od neobmedzenej kontroly, ktorú poskytuje útočníkovi. Avšak, ak ste si vedomý problémov a prijať potrebné opatrenia, vaše zariadenie bude v bezpečí pred týmito potenciálne nebezpečnými útokmi. Takže najprv sa uistite, že ste aktualizovali najnovšie bezpečnostné záplaty od spoločnosti Google hneď, ako ich získate, a potom sa držte ďalej od nedôveryhodných a podozrivých aplikácií, súborov a odkazov. Čo si myslíte, že by mali chrániť svoje zariadenie pred útokmi škodlivého softvéru. Dajte nám vedieť svoje myšlienky na túto tému tým, že ich zamietnete do sekcie komentárov nižšie.
