Keďže Linux je projekt s otvoreným zdrojovým kódom, je ťažké nájsť bezpečnostné chyby v jeho zdrojovom kóde, pretože tisíce používateľov ich aktívne kontroluje a opravuje. Vďaka tomuto proaktívnemu prístupu, aj keď je objavená chyba, je okamžite opravená. Preto bolo také prekvapujúce, keď bol minulý rok objavený exploit, ktorý za posledných 9 rokov unikol prísnej povinnej starostlivosti všetkých používateľov. Áno, čítate správne, hoci exploit bol objavený v októbri 2016, v kóde jadra Linuxu existoval už 9 rokov. Tento typ zraniteľnosti, čo je typ chyby eskalácie privilégií, je známy ako zraniteľnosť Dirty Cow (katalógové číslo chyby jadra Linuxu – CVE-2016-5195).
Hoci táto chyba zabezpečenia bola pre Linux opravená týždeň po jej objavení, všetky zariadenia so systémom Android zostali zraniteľné voči tomuto exploitu (Android je založený na jadre Linuxu). Oprava systému Android však nasledovala v decembri 2016 z dôvodu fragmentovanej povahy systému Android ekosystéme, stále existuje veľa zariadení so systémom Android, ktoré nedostali aktualizáciu a zostávajú zraniteľný voči tomu. Ešte desivejšie je, že len pred pár dňami bol objavený nový malvér pre Android s názvom ZNIU, ktorý využíva zraniteľnosť Dirty Cow. V tomto článku sa podrobne pozrieme na zraniteľnosť Dirty Cow a na to, ako ju v systéme Android zneužíva malvér ZNIU.
Čo je zraniteľnosť špinavých kráv?
Ako je uvedené vyššie, zraniteľnosť Dirty Cow je typ zneužitie eskalácie privilégií na ktoré sa dá zvyknúť udeliť privilégium superužívateľa komukoľvek. Použitím tejto zraniteľnosti si môže každý používateľ so zlými úmyslami udeliť privilégium superužívateľa, čím získa úplný root prístup k zariadeniu obete. Získanie prístupu root k zariadeniu obete dáva útočníkovi plnú kontrolu nad zariadením a môže extrahovať všetky údaje uložené v zariadení bez toho, aby sa používateľ stal múdrejším.
Čo je ZNIU a čo s tým má spoločné špinavá krava?
ZNIU je prvý zaznamenaný malvér pre Android, ktorý využíva zraniteľnosť Dirty Cow na útok na zariadenia so systémom Android. Malvér využíva zraniteľnosť Dirty Cow na získanie prístupu root k zariadeniam obete. V súčasnosti sa zistilo, že malvér sa skrýva vo viac ako 1200 herných a pornografických aplikáciách pre dospelých. V čase publikovania tohto článku sa zistilo, že sa ním týka viac ako 5000 používateľov v 50 krajinách.
Ktoré zariadenia so systémom Android sú citlivé na ZNIU?
Po zistení zraniteľnosti Dirty Cow (október 2016) spoločnosť Google vydala v decembri 2016 opravu na odstránenie tohto problému. Avšak, oprava bola vydaná pre zariadenia so systémom Android, ktoré bežia na systéme Android KitKat (4.4) alebo vyššie. Podľa rozpadu distribúcie OS Android spoločnosťou Google viac ako 8 % smartfónov s Androidom stále beží na nižších verziách Androidu. Zo zariadení so systémom Android 4.4 až Android 6.0 (Marshmallow) sú v bezpečí iba tie zariadenia, ktoré dostali a nainštalovali decembrovú bezpečnostnú opravu pre svoje zariadenia.
To je veľa zariadení so systémom Android, ktoré majú potenciál byť zneužitý. Ľudia sa však môžu utešovať tým, že ZNIU používa trochu upravenú verziu Dirty Cow zraniteľnosť, a preto sa zistilo, že je úspešný iba proti tým zariadeniam Android, ktoré používajú na ARM/X86 64-bitová architektúra. Napriek tomu, ak ste vlastníkom systému Android, bolo by lepšie skontrolovať, či ste nainštalovali decembrovú bezpečnostnú opravu alebo nie.
ZNIU: Ako to funguje?
Keď si používateľ stiahne škodlivú aplikáciu, ktorá bola infikovaná malvérom ZNIU, pri spustení aplikácie sa Malvér ZNIU sa automaticky spojí so svojím príkazom a riadením (C&C) a pripojí sa k nemu servery na získanie akýchkoľvek aktualizácií, ak sú k dispozícii. Akonáhle sa aktualizuje, použije využitie eskalácie privilégií (Dirty Cow) na získanie koreňového prístupu k zariadeniu obete. Keď bude mať k zariadeniu prístup typu root, bude zbierať informácie používateľa zo zariadenia.
V súčasnosti malvér používa informácie o používateľovi na kontaktovanie sieťového operátora obete tak, že sa vydáva za samotného používateľa. Po overení sa vykoná Mikrotransakcie založené na SMS a vyberať platbu prostredníctvom platobnej služby dopravcu. Malvér je dostatočne inteligentný na to, aby po vykonaní transakcií vymazal všetky správy zo zariadenia. Obeť teda o transakciách netuší. Vo všeobecnosti sa transakcie vykonávajú za veľmi malé sumy (3 USD/mesiac). Toto je ďalšie opatrenie, ktoré útočník prijal, aby zabezpečil, že obeť nezistí prevody prostriedkov.
Po sledovaní transakcií sa zistilo, že peniaze boli prevedené na falošnú spoločnosť so sídlom v Číne. Keďže transakcie cez operátora nie sú autorizované na medzinárodný prevod peňazí, týmito nezákonnými transakciami budú trpieť iba používatelia, ktorých sa to týka v Číne. Používatelia mimo Číny však budú mať stále nainštalovaný malvér na svojom zariadení, ktorý je možné kedykoľvek aktivovať na diaľku, čo z nich robí potenciálne ciele. Aj keď medzinárodné obete netrpia nelegálnymi transakciami, zadné vrátka dávajú útočníkovi šancu vložiť do zariadenia viac škodlivého kódu.
Ako sa zachrániť pred škodlivým softvérom ZNIU
Napísali sme celý článok o ochrane vášho zariadenia Android pred škodlivým softvérom, ktorý si môžete prečítať kliknutím sem. Základom je používať zdravý rozum a neinštalovať aplikácie z nedôveryhodných zdrojov. Dokonca aj v prípade malvéru ZNIU sme videli, že malvér je doručený do mobilu obete, keď si nainštalujú pornografické aplikácie alebo aplikácie na hry pre dospelých, ktoré vytvorili nedôveryhodní vývojári. Ak sa chcete chrániť pred týmto špecifickým malvérom, uistite sa, že vaše zariadenie používa aktuálnu bezpečnostnú opravu od spoločnosti Google. Tento exploit bol opravený pomocou bezpečnostnej opravy z decembra (2016) od spoločnosti Google, takže každý, kto má túto opravu nainštalovanú, je v bezpečí pred škodlivým softvérom ZNIU. Napriek tomu, v závislosti od vášho OEM, možno ste aktualizáciu nedostali, preto je vždy lepšie si uvedomiť všetky riziká a prijať potrebné opatrenia z vašej strany. Opäť platí, že všetko, čo by ste mali a nemali urobiť, aby ste zachránili svoje zariadenie pred infikovaním škodlivým softvérom, je uvedené v článku, ktorý je prepojený vyššie.
POZRI TIEŽ: Recenzia Malwarebytes pre Mac: Mali by ste ju používať?
Chráňte svoj Android pred napadnutím malvérom
Za posledných pár rokov sme zaznamenali nárast malvérových útokov na Android. Zraniteľnosť Dirty Cow bola jedným z najväčších exploitov, aké kedy boli objavené, a vidieť, ako ZNIU využíva túto zraniteľnosť, je jednoducho strašné. ZNIU je obzvlášť znepokojujúce z dôvodu rozsahu zariadení, ktoré ovplyvňuje, a neobmedzenej kontroly, ktorú poskytuje útočníkovi. Ak si však uvedomujete problémy a prijmete potrebné preventívne opatrenia, vaše zariadenie bude pred týmito potenciálne nebezpečnými útokmi v bezpečí. Najprv sa teda uistite, že aktualizujete najnovšie bezpečnostné záplaty od spoločnosti Google hneď, ako ich získate, a potom sa držte ďalej od nedôveryhodných a podozrivých aplikácií, súborov a odkazov. Čo si myslíte, že by ste mali chrániť svoje zariadenie pred útokmi škodlivého softvéru? Dajte nám vedieť svoje myšlienky na túto tému tým, že ich napíšete do sekcie komentárov nižšie.
Odporúčané články
