Szerző: Hlács Ferenc

2014. augusztus 22. 13:51

Problémás a mobilok UI-kezelése?

Komoly biztonsági rést találtak a Kaliforniai Egyetem kutatói, amely az Android, Windows Phone és iOS rendszereket is veszélyezteti. A hiba egy egyszerű malware-rel használható ki, amelynek még speciális alkalmazásengedélyre sincs szüksége a működéshez, így még az óvatosabb felhasználók figyelmét is elkerülheti.

"A mobilos operációs rendszerek GUI-keretrendszerei fontos, de kevéssé vizsgált területét jelentik a biztonsági szakmának" - kezdődik az új generációs támadást bemutató tudományos dolgozat a Kaliforniai Egyetem kutatóinak tollából. A szakértők szerint az Android rendszeren bemutatott biztonsági hibát kihasználva a "activity state inference" névre keresztelt támadással igen magas sikerességi aránnyal juthatnak hozzá a felhasználók érzékeny személyes információihoz és törhetik fel például online fiókjaikat. A hiba az Android problémás memóriakezelésében van, amely minden app számára szabadon elérhető közös csatornán közli az egyes alkalmazások memóriahasználatra vonatkozó adatait. A probléma azonban az Androidnál messzebb mutat, a kutatók hipotézise szerint azonos támadás valósítható meg iOS-en illetve Windows Phone-on is.

A tulajdonképpeni támadás

A módszer lényege, hogy a felhasználót először ráveszik egy ártalmatlannak látszó alkalmazás telepítésére - amely valójában természetesen malware - ezen keresztül pedig hozzáférnek az folyamatok megosztott memóriahasználati adataihoz. Ezek az adatok a háttérben futó alkalmazás számára is elérhetőek, ráadásul lekérdezéséhez semmilyen kiemelt jogosultságra nincs szükség, egy eddig jórészt ismeretlen, azonban szabadon hozzáférhető csatornáról van szó. Ennek megfelelően az app által jelentett veszély még a figyelmesebb felhasználók figyelmét is elkerülheti, miután nincs szüksége különleges alkalmazásengedélyre.

A biztonsági rést hét népszerű alkalmazáson tesztelték, ezek a Gmail, a H&R Block, a Newegg, a WebMD, a CHASE Bank, a Hotels.com és az Amazon. Az appok közül hat esetében a behatolási kísérletek 82-92 százalékban jártak sikerrel - az androidos készülékeken alapértelmezetten telepített Gmail legmagasabb, 92 százalékos törési arányt produkálta. A legkeményebb diónak az Amazon alkalmazása bizonyult, ám az esetek 48 százalékában ebbe is sikerült behatolni.

01:46
 

Activity Hijacking Attack on H&R Block App

Még több videó

Toxikus vezetők szivárványa

Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Toxikus vezetők szivárványa Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

A modern rendszerek az alkalmazások biztonságos elválasztására és a megfelelő memóriakezelésre nagy hangsúlyt fektetnek - a folyamatok semmilyen szinten nem látnak rá egymás tevékenységére. Ez az elv azonban a legfelső szinten, a felhasználói felület (UI) kirajzolásáért felelős rétegnél sérül, egy háttérben futó app pedig az újonnan felfedezett csatornát használva adatokat szerezhet arról, hogy az előtérben futó alkalmazás mit végez - ebből pedig viszonylag nagy találati aránnyal következtethet a felhasználó tevékenységére (az előtérben futó activity nevének visszafejtésével). Az igazán ijesztő, hogy az app képes felismerni, hogy a felhasználó mikor lát épp login-ablakot, ilyenkor pedig rögzíteni tudja a virtuális billentyűzet inputját (mégegyszer: jogosultságok nélkül), ezzel gyakorlatilag megszerzi a felhasználó ID-jelszó párosát.  A szakértők szerint a támadás titka az időzítésben rejlik, azaz akkor kell megindítani, mikor a felhasználó is tevékenykedni kezd a kiszemelt appban -  természetesen feltűnés nélkül.

01:01
 

[Lightning Talk] Get to know UI state inference attack in 60 sec!

Még több videó

Noha a módszert eddig csak Androidon próbálták ki, a kutatók szerint ez a sebezhetőség mindhárom említett mobilos rendszerben, sőt, OS X-en és asztali Windows-on is jelen van és potenciálisan kiaknázható. A szakértők szerint a probléma orvoslásához az operációs rendszerek fejlesztőinek sokkal nagyobb figyelmet kell fordítani a fentihez hasonló nyilvános csatornákra, illetve szigorúbban kell szabályozni azokhoz a hozzáférést. Mindezek mellett a felhasználók ébersége is fontos, a legtöbb biztonsági szakértők már-már mantraszerűen ismételgetett tanácsa itt is él: ne telepítsünk kétes eredetű alkalmazásokat. A kutatók eredményeikről részletesen a 22. USENIX Security Symposiumon számolnak be San Diegóban, a mai nap folyamán.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról