التحايل على Bouncer من Google ، نظام Android لمكافحة البرامج الضارة

استجابةً للهدف الكبير المتزايد الذي كان يقدمه نظام التشغيل Android للمتسللين ، طرحت Google نظام مكافحة البرامج الضارة 'Bouncer' في فبراير 2012. تم تصميم Bouncer لتصفية التطبيقات الضارة قبل ظهورها في Android Market ، مثل تم استدعاؤه في ذلك الوقت. تم تغيير الاسم إلى Google Play ، لكن Bouncer ظل يتأرجح ، مما يحمينا بصمت من الديدان وأحصنة طروادة.

كانت Google خفيفة في التفاصيل عندما كشفت عن Bouncer ، لكن الآن اثنين من الباحثين الأمنيين من Duo Security ، تشارلي ميلر وجون أوبيرهايد ، وجدوا طريقة للوصول عن بعد إلى Bouncer واستكشافها من الداخل. يُظهر ما وجدوه أن مؤلفي البرامج الضارة الأذكياء لا يزال بإمكانهم التخلص من هاتفك.



ماذا يفعل الحارس

طوال عام 2011 ، ابتليت Google بحالات برامج Android الضارة الاستفادة من الثغرات في كود نظام التشغيل. والأسوأ من ذلك ، أنه في بعض الأحيان انتهى المطاف بهذه التطبيقات الضارة بالدخول إلى Android Market. كانت هناك تطبيقات سرقت جهات الاتصال وتتبعت ضغطات المفاتيح الخاصة بك وحتى تلك التي جمعت فواتير ضخمة عن طريق الرسائل النصية بأرقام عالية السعر. عادةً ما يتم طرح هذا الرمز البغيض في منتديات Warez ، لكن ظهوره في متجر Play لم يكن معروفًا.



تطبيقات جوجلسمحت Google دائمًا للمطورين بتحميل تطبيقاتهم لإتاحتها على الفور. ولكن نظرًا لاجتذاب Android مزيدًا من الاهتمام من النوع الخطأ من الأشخاص ، كان من الواضح أنه يجب القيام بشيء ما.

كانت النتيجة Bouncer ، لكن Google اختارت التحدث عنها فقط بعبارات عامة في البداية. تم تصميم Bouncer لإضافة طبقة جديدة من الأمان إلى Android دون مطالبة المطورين بإجراء عملية موافقة مملة يديرها أشخاص اسفنجيون. كل ما تحتاجه Google هو الكفاءة الباردة للآلة الآلية.



زعم إعلان فبراير أن تطبيق Bouncer كان يعمل بهدوء في الخلفية لعدة أشهر ، مما أدى إلى انخفاض بنسبة 40٪ في التطبيقات الضارة المحتملة في السوق. عند اكتمال عمليات الفحص ، سيتم نشر التطبيقات التي تم تمريرها بالطريقة العادية. كان على المطورين المعاناة خلال بضع دقائق من التأخير. بدا الأمر وكأنه رصاصة سحرية في ذلك الوقت.

نظرًا لأننا نتعلم الآن ، فقد تكون البرامج الضارة التي يتم القضاء عليها بواسطة Bouncer هي الحل الأمثل.

كيف يعمل الحارس من الداخل

قام ميلر وأوبرهايد بفحص السوق / متجر Play لبعض الوقت في محاولة لمعرفة المزيد عن Bouncer. تمكن الباحثون في النهاية من ذلك إلقاء نظرة خاطفة على قاتل الرسائل غير المرغوب فيها مع تطبيق Android مشفر خصيصًا مصمم للسماح بالوصول عن بُعد لـ Duo Security. Bouncer هو هاتف افتراضي يتم محاكاته على خادم Google. عندما قام Bouncer بتحميل تطبيق طروادة ، تمكن Miller و Oberheide من إطعام أوامر Bouncer shell عبر سطر أوامر. هكذا تم الكشف عن أسرار الحارس.



يقوم النظام بتشغيل نوع من برامج المحاكاة الافتراضية يسمى QEMU ، وهي علامة يسهل اكتشافها ويمكن أن تخبر التطبيق بأنه يعمل على Bouncer. الحساب المستخدم لتسجيل الهاتف الافتراضي متطابق أيضًا ، مما يوفر طريقة ثانية بسيطة لبصمة Bouncer. قامت Google بإعداد كل مثيل من هاتفها الافتراضي مع مواضع الجذب لجذب البرامج الضارة للقيام بما تفعله بشكل أفضل: سرقة الأشياء.

القط الحارسهناك صورتان على هاتف Bouncer ؛ واحدة من ليدي غاغا وواحدة من قطة. إذا تم الكشف عن تطبيق يقوم بتحميل هذه الصور إلى خادم بعيد ، فإن Bouncer يمنحه ركلة سريعة للخروج من الباب. وبالمثل ، إذا حاول أحد التطبيقات الحصول على معلومات الاتصال من الهاتف ، والتي تتضمن إدخالًا واحدًا لـ Michelle.k.levin@gmail.com ، فسيؤدي ذلك أيضًا إلى تشغيل التطبيق. يراقب Bouncer أيضًا خدمة الرسائل القصيرة في حالة محاولة أحد التطبيقات إرسال رسائل نصية غير مصرح بها إلى أرقام تعرفة مميزة.

ليس هناك من ينكر أن هذه طريقة بارعة للبحث عن التهديدات السيئة ، ولكن كما يشير Duo Security ، يمكن للمهاجمين بسهولة التغلب على Bouncer في لعبته الخاصة.

كيف يمكن كسر الحارس

تعلمت Duo Security درسًا مهمًا واحدًا من غزوتهم الصغيرة في Bouncer: إنها تعمل فقط عندما لا يعرف أحد أعمالها الداخلية. كما أوضحت ، اكتشف Miller و Oberheide عدة طرق لبصمة بيئة Bouncer. هذا يعني أن مؤلف البرامج الضارة يمكنه إنشاء وحدة توقف السلوك الضار لفترة معينة من الوقت عند اكتشاف Bouncer.

حتى بدون الذهاب إلى هذا الحد ، يمكن لمؤلفي البرامج الضارة التهرب من الكشف عن طريق تشغيلها بشكل رائع. لا يقوم Bouncer بتشغيل التطبيقات إلى أجل غير مسمى ؛ في الواقع ، سيقوم فقط بفحص كل تطبيق تم تحميله لمدة 5 دقائق تقريبًا قبل إعلان أنه آمن. يحتاج الأشرار فقط إلى إخفاء نواياهم لفترة قصيرة للتهرب من الماسح الضوئي كما هو موجود الآن.

الصدفبدلاً من ذلك ، يمكن للأشخاص المشبوهين الذين يتطلعون إلى استغلال هاتفك تحميل تطبيق غير ضار يمرر Bouncer بألوان متطايرة. بعد ذلك ، يمكن بمرور الوقت إضافة المكونات عبر تحديثات Play Store التي تتيح ميزات ضارة خامدة. من الواضح أن هذا هو خدعة طويلة ، ولكن بالنسبة للمكافأة الصحيحة ، قد يكون الأمر يستحق ذلك.

يقول Duo Security إنه كان على اتصال بـ Google من أجل إصلاح الثغرات الأمنية. قد يكون من السهل إصلاح بعض الأشياء ، مثل فحص التطبيقات لفترة زمنية أطول أو تغيير معلومات الحساب الافتراضية. لكن البعض الآخر ، مثل البيئة الافتراضية التي يمكن اكتشافها بسهولة ، سيكون من الصعب مقاومتها للهجوم. سيكون أفضل حل هو تشغيل التطبيقات على أجهزة حقيقية ، لكن الخدمات اللوجستية قد تجعل ذلك مستحيلاً.

سيقدم Miller و Oberheide عرضًا توضيحيًا كاملاً للاختراق في SummerCon في وقت لاحق من هذا الأسبوع. حتى ذلك الحين ، من المحتمل أن تعمل Google جاهدة لسد الثغرات الموجودة في Bouncer للحماية من موجة جديدة من البرامج الضارة.

Copyright © كل الحقوق محفوظة | 2007es.com