Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Уязвимости повышения привилегий: новая угроза для мобильного банкинга

Уязвимости повышения привилегий: новая угроза для мобильного банкинга

В рубрику "Защита информации и каналов связи" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Уязвимости повышения привилегий: новая угроза для мобильного банкинга

Уязвимости, приводящие к повышению привилегий, – одни из наиболее критичных, поскольку дают атакующему возможность получить максимальные полномочия в системе, обойти или отключить защитные средства и надежно закрепиться на скомпрометированном устройстве. Несколько лет назад это утверждение показалось бы необычным в статье про безопасность мобильных гаджетов, однако сейчас на полном серьезе можно говорить о наличии такой угрозы для смартфонов и планшетов.
Денис Горчаков
Руководитель группы антифрод-аналитики, АО “Лаборатория Касперского".

Вредоносное ПО для мобильных устройств быстро прошло путь, занявший у компьютерных вирусов пару десятков лет.

История эксплуатации повышения привилегий на Android-устройствах берет истоки во времена версий 2.х этой ОС, когда получение рута было в основном уделом энтузиастов, занимающихся модификациями тогда еще довольно несовершенной системы. Они добавляли в свои устройства новые функции, изменяли их интерфейс. Затем, не в последнюю очередь благодаря популярным интернет-ресурсам, данная активность пошла в массы, привлекая пользователей, заинтересованных не только в модификации устройств, но и во взломе игр и приложений путем обхода встроенных механизмов покупки услуг или игровых ресурсов. Технологии повышения привилегий стали проще и доступнее: неподготовленному пользователю уже не нужно было настраивать свой компьютер и смартфон, вводить что-то в командную строку: достаточно было установить приложение, нажать в нем несколько кнопок и перезагрузить свой гаджет.

Буквально за три года от простых приложений, использующих код из учебников, мобильные зловреды полностью обрели "взрослую" функциональность:

  • научились разделять тело вируса на безобидные загрузчики и вредоносный код;
  • освоили техники внедрения в системные процессы и приложения;
  • перешли к использованию множества вредоносных функций в одном зловреде, работая и банковскими троянцами, и вымогателями одновременно;
  • стали использовать динамические центры управления, дополнительно защищаясь возможностью контроля через сервисы Google и SMS-сообщения;
  • код вирусов теперь написан опытными программистами, защищен и наравне с обычными троянцами может содержать десяток эксплойтов - фрагментов вредоносного кода, обеспечивающего получение привилегий суперпользователя (Root).

Вскоре после этого над возможностью использования уязвимостей ОС Android, ее драйверов и системных приложений стали задумываться злоумышленники: сначала это были попытки скопировать код эксплуатации нескольких уязвимостей из упомянутых приложений для домашних пользователей. Благодаря тому, что за последние несколько лет было найдено и описано значительное количество таких уязвимостей в Android, в том числе с публичными примерами их эксплуатации (PoC), собраны готовые публичные библиотеки (SDK) для повышения привилегий и размещены с их открытым исходным кодом на ресурсах для программистов, данная функциональность быстро вошла в "джентльменский набор" современных мобильных вирусов. Последние образцы некоторых обнаруженных троянцев (таких как Hummer) содержат в коде эксплуатацию до 18 различных уязвимостей одновременно, в то время как компьютерные вирусы обычно ограничиваются тремя–четырьмя.

В результате об угрозе стали всерьез задумываться разработчики банковских и платежных приложений для мобильных устройств. К сожалению, в большинстве из них сейчас реализованы лишь простые проверки на наличие файла SU, являющегося лишь одним из признаков того, что на устройстве получены привилегии суперпользователя.

Первыми поставили на поток дело китайские вирусописатели, использующие вредоносное ПО для рекламной монетизации: к тому же, в Китае много устройств с доступными по умолчанию привилегиями суперпользователя (по некоторым оценкам, привилегии разблокированы на 80% устройств в Китае), а за ними подтянулись российские и немецкие создатели мобильных банковских троянцев и поддельных банковских приложений (Fake-Banker).

Конечно, мобильное вредоносное ПО отлично работает и без прав суперпользователя, однако с ними простор действий у зловредов гораздо больше:

  • значительно расширяются возможности закрепления на устройстве: удалить такой вирус весьма проблематично, порой единственным выходом для пользователя становится обращение в сервисный центр;
  • не приходится запрашивать у пользователя дополнительные доступы, вся вредоносная активность происходит абсолютно незаметно;
  • появляются новые удобные векторы атаки, такие как внедрение в процессы браузеров для подмены загружаемых страниц.

В случае с уязвимостями приложений, домашних и серверных ОС все достаточно понятно: разработчики оперативно выпускают обновления, нужно вовремя установить новую версию программы или применить исправление.

С мобильными устройствами все гораздо хуже, поскольку у них есть своя специфика:

  • Многократно упомянутая фрагментация версий ОС Android и отсутствие исправлений для старых версий системы.
  • Короткий жизненный цикл поддержки устройств. Для недорогих гаджетов (до 15 тысяч рублей), которые, по данным некоторых ритейлеров, составляют до 70% продаж, производители даже не закладывают в бюджет разрабатываемых устройств никакой постпродажной поддержки.
  • Неприятие мобильных устройств как полноценного ИТ-актива с соответствующими доступами к информационным ресурсам.

Таким образом, сейчас перед разработчиками мобильных приложений, особенно финансовых, в полный рост встает вопрос защиты от подобных угроз.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2016

Приобрести этот номер или подписаться

Статьи про теме

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"