那个恶意软件与自己的后门进入Android的框架?别担心;谷歌在它上面。(GULP!)
6重要的新Chromebook硬件趋势
APL Logistics快速跟踪云的全球出货量
EC罚款谷歌€1.49亿欧元,滥用广告市场统治
DBIR展示了Cyber​​罪犯,瞄准C-Suite,表演
谷歌的像素4雷达系统可能不仅仅是噱头
税收和财务管理表现出对区块链的兴趣,但看到收养的障碍
A.R.,A.I. 5G帮助通过'21推动移动开支
推动到Win10版本1903年的机器占据了更多1809台机器,产生了很少的投诉
三星带上微软和谷歌的翻转合作白板
政府暗示生物识别法规
Chrome 68夏天谴责所有未加密的网站
英国政府推出云可持续性探测
Windows更新调查:您如何看待Microsoft的补丁制度?
议会敦促支持5G准备就绪
Microsoft命名Windows 10 1803'Spring Creators Update'
ÉcoleHôtelièredeLausanne将Amelia置于核心的机器人
你的表面书2还是Pro 4的写入速度很大?你并不孤单
Microsoft Grabs更新,升级reins在其托管的PC计划下
挑战者银行串联在一个周末迁移到AWS
Microsoft到消费者办公室365订阅者的结束设备限制
邮局被告知要支付超过500万英镑的对手的首选地平线试验
基于区块链的加密货物的方式受到严格的影响很快就会改变
面对Brexit面对的技术部门蒸汽
Palo Alto说,数字达尔文主义对那些等待的人不友好
GDPR:我们到了吗?
亚马逊加入了区块链条的服务提供商列表
政府违规数据突出了网络技能误解
Ethereum探讨了区块链的性能问题的修复
Mac和iOS应用程序窃取用户数据 - 企业占用
哥德堡 - 早期创业公司的热床
Mingis关于Tech:购买iMac Pro的理由
Microsoft Jiggles - 但没有修复 - 越野Win7补丁KB 4088875,KB 4088878
Mingis关于Tech:BlackBerry的Key2手机是为“宇宙大师”
技术如何塑造马来西亚经济
拉脱维亚移动运营商邀请网络攻击者了
云基础设施供应商增长率开始稳定随市场成熟
中东采访:巴林金公司推动速度
莫里桑斯推出违反责任裁决的新鲜呼吁
研究表明,对枢头抵消的高音抵消抵消燃烧卷取
Microsoft加快最新的Windows 10升级交付
5谷歌推出2017年仍未降落
Android和Shifting Simplicity Spectrum
美国是通过区间区间的无现金经济吗?
谢菲尔德的网络网络超越免费无线网络
Thales完成了收购Gemalto
Microsoft Lutes Windows 2008用户通过提供额外支持云
LG的G7 Thinq看起来像一个公司的鞭打
在Mac上使用窗口的简单方法刚好变得更好
Mingis关于Tech:在Windows 10 10月更新中发生了什么?
您的位置:首页 >论坛 > 电子商务 >

那个恶意软件与自己的后门进入Android的框架?别担心;谷歌在它上面。(GULP!)

2021-08-27 16:44:16 [来源]:

移动安全之一“最大的恐惧已经通过了。谷歌上周(6月6日)确认了网络故事已经设法将恶意软件预先安装到Android框架后门。简而言之,恶意软件似乎在Android中最深点的谷歌祝福。

“在Google Play应用程序上下文中,安装意味着[恶意软件]不必从未知来源打开安装,并且所有应用程序安装都看起来像是来自Google Play,”卢卡萨斯Siewierski,Android安全和隐私团队写道,在博客文章中。“从C&C服务器下载该应用程序,使用双XOR和ZIP使用相同的自定义加密例程加密与C&C的通信。下载和已安装的应用程序使用Google Play上可用的未植入应用程序的包装名称。除了同一包装名称,他们没有与Google游戏中的应用程序有任何关系。“

企业Cisos和CSO以及CIO,正在发现今天信任主要的移动操作系统公司 - Apple和Google - 处理他们的安全保护结束是蛮干。由于Apple生态系统的性质(共有一个手机制造商,这允许更封闭的系统),iOS稍微安全,但只有略微。

尽管如此,谷歌的新录取肯定会让苹果在安全领域看起来好多了。问题是本身的操作系统 - iOS和Android都具有合理的安全代码。它是通过官方批准的应用程序存款人员提供给企业和消费者的应用程序。企业安全专业人员已经知道,Apple和Google都没有验证应用程序的安全性。尽其所述,两者都在检查策略和版权问题远远超过恶意软件的存在。

但那是处理真正的第三方应用程序。直接来自Apple和Google的应用程序可以信任 - 或者在谷歌的披露之前被认为是思考的。

谷歌承认的事件发生了两年前,博客帖子并没有说谷歌在此时谷歌宣布它,或者为什么选择为什么。可能是谷歌想要确保它在宣布之前已经充分关闭了这个漏洞,但两年是非常长的时间来了解这个严肃的一个洞,对此保持沉默。

那么实际发生了什么?Google获取发布大量详细信息的积分。谷歌的故事的背景始于比这更年来的一年 - 所以,三年前 - 有一系列名为Triada的垃圾邮件广告显示应用程序。

“Triada应用程序的主要目的是在显示广告的设备上安装垃圾邮件应用程序,”Siewierski写道。“Triada的创作者收集了垃圾邮件应用程序显示的广告的收入。对于这些类型的应用程序来说,Triada使用的方法是复杂的和不寻常的。Triada应用程序开始作为生根的特洛伊木马,但由于Google Play保护加强防御的防御,Triada应用程序被迫适应,进入系统图像后门。“

然后Siewierski然后详细说明了应用程序的方法:“Triada的第一个动作是安装一种超级用户(SU)二进制文件。此苏二进制文件允许设备上的其他应用程序使用根权限。Triada使用的苏二进制文件需要密码,与其他Linux系统共同的常规苏二进制文件相比,是独一无二的。二进制接受了两个密码:OD2GF04PD9和AC32DORBDQ。根据所提供的,二进制文件可以作为root或连接的所有参数ran ran ran ran ran ran或串联,ran在sh之前的连接,然后按照root ran ran。无论哪种方式,该应用程序必须知道正确的密码以作为root运行命令。“

该应用程序使用了一个令人印象深刻的复杂系统来释放所需的空间,但避免它可以 - 删除将其提醒或消费者对问题的任何东西。“重量观察包括几个步骤,并试图释放设备的用户分区和系统分区上的空间。使用黑名单和白名单应用程序,首先删除了黑名单上的所有应用程序。如果需要更多的可用空间,它将删除仅留下白名单上的应用程序的所有其他应用程序。这个过程释放了空间,同时确保手机正常工作所需的应用程序未被删除。“他还指出,“除了安装显示广告的应用外,Triada注入了四个Web浏览器:AOSP(com.android.browser),360安全(com.qihoo.browser),cheetah(com.ijinshan.browser_fast)和oupeng(com.oupeng.browser)。“

此时,Siewierski写道,谷歌检测了恶意软件努力,并能够使用Google Play保护删除Triada样本,并试图以其他方式挫败Triada。这是在三迪亚袭击的时候,在2017年夏天。“而不是根亚人获得提升权限,而是进化到已安装的Android框架后门。Triada的更改包括Android框架日志功能中的额外呼叫。通过回理日志函数,每次调用日志方法时都会执行附加代码。也就是说,每次手机上的任何应用都试图记录一些东西。这些日志尝试每秒多次发生多次,因此额外的代码[是]运行不停。附加代码也在应用程序日志记录消息的上下文中执行,因此Triada可以在任何应用上下文中执行代码。Triada早期版本的代码注入框架在棉花糖之前的Android版本上工作。后门函数的主要目的是在另一个应用程序上下文中执行代码。后门尝试每次应用程序需要对某些内容执行额外的代码。“

然后,恶意软件有创意查找避免的方法 - 或至少延迟 - 检测。

“每个MMD文件都有一个特定的文件名<process name> 36.jmd的格式<md5。通过使用进程名称的MD5,Triada作者试图模糊注射目标。但是,所有可用的过程名称的池相当小,所以这款哈希容易可逆。我们确定了两个代码注入目标:com.android.Systemui(系统UI App)和Com.Android.vending(Google Play应用程序)。注入第一个目标以获取get_real_tasks权限。这是一个签名级别权​​限,这意味着它不能由普通的Android应用程序持有。从Android棒棒糖开始,弃用GetRecentTasks()方法以保护用户“隐私”。但是,包含Get_real_Tasks权限的应用程序可以获得此方法调用的结果。要保存get_real_tasks权限,必须使用OEM持有的设备的平台证书,该应用程序必须与特定证书签名。Triada无法访问此证书。相反,它在系统UI应用程序中执行了附加代码,该应用程序具有get_real_tasks权限。“

恶意软件让其邪恶的袖子更焦虑。“最后一块拼图是与已安装的应用程序通信的日志函数中的后门的方式。此通信提示调查:Triada的变化显示,它看起来有系统图像上还有另一个组件。应用程序可以通过使用特定预定义标记和消息记录行与Triada BackDoor进行通信。反向通信更复杂。后门使用的Java属性将消息中继到应用程序。这些属性是与Android系统属性类似的键值对,但它们被选中到特定过程。在一个应用上下文中设置其中一个属性可确保其他应用程序不会看到此属性。尽管如此,某些版本的Triada不分青红皂白地性地在每个应用程序过程中创建了属性。“

在职位结束时 - 包含更多的代码,值得彻底读取 - Google对下一步提供了一些想法。仔细看看它的建议,看看你是否可以检测到谁似乎从这一切中发出谁?来自谷歌的建议:“OEM应该确保审查所有第三方代码,并可以跟踪到其来源。此外,添加到系统图像中的任何功能都应该仅支持所请求的功能。在添加第三方代码后,它是一个很好的做法是在添加第三方代码后对系统映像进行安全审查。Triada不明显地包含在系统形象中,作为OEM所要求的其他功能的第三方代码。这突出了在设备向用户销售之前对系统图像的彻底持续安全审查的需求以及它们在空中更新(OTA)之前。“

那个博览会,但谁完全应该在进行这些持续的安全评论?肯定地,谷歌不建议在OEM的手中取消选中,这是如此重要的事情。我得出结论,谷歌将为自己的安全团队添加广泛的资源,以确保任何诸如此发生这种情况,通过OEM检查站。

有一个信任谷歌和Apple的问题 - 当我们确保移动操作系统和相关的应用程序是安全的时,它是安全的。OEM有很少的投资回报率来证明大型安全投资。降压必须使用谷歌。我似乎觉得黑莓有太多问题的那些问题,这是因为作为公司,它优先考虑安全。(好吧,也许它应该备受一些优先级的营销优先级,而是我倾斜。)

如果谷歌没有做更多的安全,CIO / CISOS / CSO将要么必须承担这项任务 - 或者严重质疑哪些MOS可以证明支持。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。