Tā kā Linux ir atvērtā koda projekts, ir grūti atrast drošības trūkumus tās pirmkodā, jo tūkstošiem lietotāju aktīvi pārbauda un nosaka to pašu. Šīs proaktīvās pieejas dēļ pat tad, ja tiek atklāts trūkums, tas tiek nekavējoties noglabāts. Tieši tāpēc tas bija tik pārsteidzoši, kad pagājušajā gadā tika atklāta ekspluatācija, kas pēdējo 9 gadu laikā ir izbēgusi no visu lietotāju stingras rūpības. Jā, jūs to izlasījāt pareizi, lai gan ekspluatācija tika atklāta 2016. gada oktobrī, tā jau pastāvēja Linux kodola kodā kopš pēdējiem 9 gadiem. Šāda veida neaizsargātība, kas ir privilēģiju eskalācijas veida kļūda, ir pazīstama kā netīrās govs ievainojamība (Linux kodola kļūdu kataloga numurs - CVE-2016-5195).
Lai gan šī neaizsargātība tika novērsta Linux nedēļā pēc tās atklāšanas, tā atstāja visas Android ierīces neaizsargātas pret šo izmantošanu (Android pamatā ir Linux kodols). Android patched sekoja 2016. gada decembrī, tomēr Android ekosistēmas sadrumstalotības dēļ joprojām ir daudz Android ierīču, kas nav saņēmušas atjauninājumu un paliek neaizsargātas pret to. Vēl biedējoši ir tas, ka jaunā Android ļaunprātīgas programmatūras, kas tiek saukta par ZNIU, tika atklāta tikai pāris dienas atpakaļ, kas izmanto Dirty Cow ievainojamību. Šajā rakstā mēs apskatīsim Dirty Cow ievainojamību un to, kā ZNIU ļaunprātīga programmatūra to izmanto Android.
Kas ir netīrās govs ievainojamība?
Kā minēts iepriekš, netīrās govs neaizsargātība ir privilēģiju eskalācijas veids, ko var izmantot, lai ikvienam piešķirtu super lietotāju tiesības . Būtībā, izmantojot šo ievainojamību, jebkurš lietotājs ar ļaunprātīgu nodomu var piešķirt sev super lietotāja privilēģijas, tādējādi nodrošinot pilnīgu saknes piekļuvi cietušā ierīcei. Piekļuves nodrošināšana cietušā ierīcei ļauj uzbrucējam pilnībā kontrolēt ierīci, un viņš var iegūt visus ierīcē saglabātos datus bez lietotāja gudrākas.
Kas ir ZNIU un to, kas ar to ir netīrs govs?
ZNIU ir pirmā reģistrētā ļaunprātīgā programmatūra Android programmai, kas izmanto Dirty Cow ievainojamību, lai uzbruktu Android ierīcēm. Ļaunprātīga programmatūra izmanto Dirty Cow ievainojamību, lai iegūtu root piekļuvi cietušā ierīcēm. Pašlaik ļaunprātīga programmatūra ir slēpta vairāk nekā 1200 pieaugušo spēļu un pornogrāfiskās lietotnēs. Publikācijas publicēšanas laikā vairāk nekā 5000 lietotāju no 50 valstīm ir ietekmējuši.
Kādas Android ierīces ir aizsargātas pret ZNIU?
Pēc Dirty Cow neaizsargātības atklāšanas (2016. gada oktobrī) Google 2016. gada decembrī izlaida plāksteri, lai atrisinātu šo problēmu. Tomēr plāksteris tika izlaists Android ierīcēm, kas darbojas Android KitKat (4.4) vai augstāk. Saskaņā ar Android operētājsistēmas Android izplatīšanas sadalījumu vairāk nekā 8% no Android viedtālruņiem joprojām darbojas uz zemākām Android versijām. No tiem, kas darbojas operētājsistēmā Android 4.4, izmantojot Android 6.0 (Marshmallow), tikai tās ir drošas ierīces, kas ir saņēmušas un instalējušas decembra drošības plāksteri savām ierīcēm.
Tas ir daudz Android ierīču, kas var tikt izmantotas. Tomēr cilvēki var paļauties uz to, ka ZNIU izmanto nedaudz modificētu Dirty Cow neaizsargātību, un tāpēc ir konstatēts, ka tā ir veiksmīga tikai pret tām Android ierīcēm, kas izmanto 64 bitu ARM / X86 arhitektūru . Tomēr, ja esat Android īpašnieks, labāk būtu pārbaudīt, vai esat instalējis decembra drošības plāksteri.
ZNIU: Kā tas darbojas?
Pēc tam, kad lietotājs ir lejupielādējis ļaunprātīgu lietojumprogrammu, kas ir inficēta ar ZNIU ļaunprātīgu programmatūru, tad, kad viņi sāks lietotni, ZNIU ļaunprātīga programmatūra automātiski sazināsies un izveidos savienojumu ar tās vadības un kontroles serveriem, lai iegūtu visus atjauninājumus, ja tādi ir pieejami. Kad tas ir atjaunināts, tas izmantos privilēģijas eskalāciju (Dirty Cow), lai iegūtu root piekļuves tiesības cietušā ierīcei. Pēc tam, kad ierīcei būs pieejama sakne, tā apkopos lietotāja informāciju no ierīces .
Pašlaik ļaunprātīga programmatūra izmanto lietotāja informāciju, lai sazinātos ar cietušā tīkla nesēju, radot to kā pats lietotājs. Pēc autentifikācijas tā veiks īsziņu balstītus mikro darījumus un iekasēs maksājumu, izmantojot pārvadātāja maksājumu pakalpojumu. Ļaunprātīga programmatūra ir pietiekami inteliģenta, lai izdzēstu visus ziņojumus no ierīces pēc darījumu veikšanas. Tādējādi cietušajam nav priekšstatu par darījumiem. Parasti darījumi tiek veikti ļoti nelielām summām ($ 3 / month). Šis ir vēl viens piesardzības pasākums, ko uzbrucējs veic, lai nodrošinātu, ka cietušais neatklāj līdzekļu pārskaitījumus.
Pēc darījumu izsekošanas tika konstatēts, ka nauda tika pārskaitīta uz manekenu, kas atrodas Ķīnā . Tā kā pārvadātāju darījumiem nav atļauts pārskaitīt naudu starptautiskā mērogā, šie nelegālie darījumi cietīs tikai tie lietotāji, kas cietuši Ķīnā. Tomēr lietotājiem ārpus Ķīnas joprojām būs instalēta ļaunprātīga programmatūra, kas var tikt aktivizēta jebkurā laikā no attāluma, padarot tos par potenciāliem mērķiem. Pat tad, ja starptautiskie upuri necieš no nelikumīgiem darījumiem, aizmugurējā durvis uzbrucējam dod iespēju injicēt ierīcē vairāk ļaunprātīgu kodu.
Kā saglabāt sevi no ZNIU ļaunprātīgas programmatūras
Mēs esam uzrakstījuši visu rakstu par jūsu Android ierīces aizsardzību pret ļaunprātīgu programmatūru, ko jūs varat izlasīt, noklikšķinot šeit. Galvenais ir izmantot veselo saprātu un neinstalēt lietotnes no neuzticamiem avotiem. Pat ZNIU ļaunprātīgas programmatūras gadījumā mēs esam redzējuši, ka ļaunprātīga programmatūra tiek nogādāta cietušā mobilajā telefonā, kad viņi instalē pornogrāfiskas vai pieaugušo spēļu programmas, ko izstrādā neuzticami izstrādātāji. Lai aizsargātu pret šo konkrēto ļaunprātīgo programmatūru, pārliecinieties, vai jūsu ierīce atrodas pašreizējā drošības plāksterī no Google. Izmantošana tika noņemta ar Google decembra (2016) drošības plāksteri, tāpēc ikviens, kam ir instalēts šis plāksteris, ir droša no ZNIU ļaunprātīgas programmatūras. Tomēr, atkarībā no jūsu OEM, jūs, iespējams, neesat saņēmis atjauninājumu, tāpēc vienmēr ir labāk apzināties visus riskus un veikt nepieciešamos piesardzības pasākumus. Atkal, viss, kas jums vajadzētu un nevajadzētu darīt, lai saglabātu ierīci no inficēšanās ar ļaunprātīgu programmatūru, ir minēts iepriekš minētajā rakstā.
Aizsargājiet savu Android no inficēšanās ar ļaunprātīgu programmatūru
Pēdējos pāris gados ir pieaudzis ļaunprātīgu programmatūru uzbrukumu skaits Android. Dirty Cow neaizsargātība bija viens no lielākajiem ekspluatācijas veidiem, kas jebkad ir atklāts, un redzēt, kā ZNIU izmanto šo ievainojamību, ir tikai šausminošs. ZNIU ir īpaši satraucošs, jo ir ietekmētas ierīces, kā arī neierobežotā kontrole, ko tā piešķir uzbrucējam. Tomēr, ja esat informēts par problēmām un veicat nepieciešamos piesardzības pasākumus, jūsu ierīce būs droša pret šiem potenciāli bīstamajiem uzbrukumiem. Tātad, vispirms pārliecinieties, vai jaunākie drošības ielāpi tiek atjaunināti no Google, tiklīdz tos saņemsiet, un pēc tam saglabājiet prom no neuzticamām un aizdomīgām lietotnēm, failiem un saitēm. Ko, jūsuprāt, vajadzētu aizsargāt savu ierīci pret ļaunprātīgu programmatūru. Ļaujiet mums uzzināt savas domas par šo tēmu, nolaižot tās tālāk komentāru sadaļā.