http://ITWare.com.ua/news/29914/

8 октября 2013 г

Vulna: новая угроза для пользователей мобильных устройств

Разработчики компании FireEye, Inc. обнаружили новый класс мобильных угроз, который распространяется через популярную рекламную библиотеку. Угрозе присвоено имя Vulna. Характерная черта Vulna – это агрессивный сбор конфиденциальной информации и персональных данных пользователей. Угроза способна выполнять опасные операции, такие как загрузка и выполнение новых компонентов по запросу удаленного сервера, что, прежде всего, несет серьезную угрозу для корпоративных пользователей.

Угроза была обнаружена в популярной рекламной библиотеке, представляющей собой программное обеспечение сторонних разработчиков для демонстрации рекламы в приложениях. В связи с тем, что функциональность библиотеки и возможности уязвимости позволяют организовать широкомасштабную атаку на миллионы пользователей, название библиотеки не оглашается публично, а используется кодовое имя Vulna.

Аналитиками FireEye был проведен анализ всех Android приложений на Google Play, которые были загружены пользователями более миллиона раз, в ходе которого выяснилось, что 1,8 % этих приложений используют скомпрометированную библиотеку Vulna. Суммарное количество загрузок уязвимых приложений насчитывает более 200 млн раз.

Рекламные библиотеки представляют достаточно серьезную угрозу для персональных данных, так как осуществляют сбор идентификаторов устройств (IMEI, IMSI и т. п.), а также данных локализации. Vulna, к уже имеющимся рискам, добавляет еще ряд угроз безопасности. Вот перечень агрессивного поведения и уязвимостей, которое удалось обнаружить в Vulna:

• Сбор адресов электронной почты и списка установленных приложений владельца устройства. Помимо этого Vulna способна читать текстовые сообщения, историю телефонных звонков и список контактов, а также публиковать эти данные через веб-службы, запущенные на устройстве.
• Загрузка произвольного кода и выполнение его после команды с удаленного сервера.
• Передача частной информации владельца мобильного устройства через HTTP как обычного текста, что делает ее уязвимой для перехвата.
• Использвание незащищенного HTTP-протокола для получения команд и динамически загружаемого кода от контрольного сервера, что может быть использовано хакерами для включения устройства в ботнет-сеть.
• Использование Android WebView со связкой JavaScript-to-Java в не защищенном виде. Атакующие могут использовать эту уязвимость для выполнения вредоносного JavaScript-кода, который может нарушить работу устройства.

Учитывая данные уязвимости, хакер может выполнить произвольный код в любом приложении, которое использует рекламную библиотеку Vulna. Анализ показал, что большинство таких приложений располагают максимальными правами доступа к персональным данным владельца, хранящимся на его мобильном устройстве. Получив доступ к таким приложениям, атакующий может:

• похитить токкен двухфакторной аутентификации, присылаемый по SMS;
• просматривать фотографии и другие файлы, хранящиеся на SD накопителе;
• инсталлировать ярлыки на рабочем столе для осуществления фишинговых атак;
• по запросу удалять и повреждать данные;
• выдавать себя за владельца и отправлять сообщения персонам из списка контактов;
• удалять входящие текстовые сообщения;
• осуществлять телефонные звонки.

Полученные данные уязвимости в зараженных приложениях были отправлены компании Google, а также вендору Vulna. Данный инцидент подтвержден и ведутся активные работы по устранению уязвимости.