Kuna Linux on avatud lähtekoodiga projekt, on selle lähtekoodi puhul raske leida turvavigu, kuna tuhanded kasutajad jälgivad ja kinnitavad aktiivselt sama. Selle proaktiivse lähenemise tõttu, isegi kui avastatakse viga, paigutatakse see kohe. Sellepärast oli see üllatav, kui eelmisel aastal avastati ärakasutamine, mis on viimase 9 aasta jooksul kõigi kasutajate rangest hoolsusest välja pääsenud. Jah, sa lugesid seda õigesti, kuigi ärakasutamine avastati 2016. aasta oktoobris, see oli Linuxi tuumakoodi sees olnud viimased 9 aastat. Seda tüüpi haavatavust, mis on teatud tüüpi privileegide laiendamise viga, tuntakse kui Dirty Cow haavatavust (Linuxi kerneli vea kataloogi number - CVE-2016-5195).
Kuigi see haavatavus Linuxi jaoks paar nädalat pärast selle avastamist, jäi see kõik Android-seadmed selle ärakasutamise suhtes tundlikuks (Android põhineb Linuxi kernelil). Androidi patched järgnes 2016. aasta detsembris, kuid Android-ökosüsteemi killustatuse tõttu on veel palju Android-seadmeid, mis ei ole värskendust saanud ja on selle suhtes tundlikud. Veelgi hirmutavam on see, et uus Androidi pahavara, mida nimetatakse ZNIU-le, avastati vaid paar päeva tagasi, mis kasutab Dirty Cow haavatavust. Käesolevas artiklis vaatleme põhjalikult Dirty Cow haavatavust ja seda, kuidas ZNIU pahavara seda Androidis kuritarvitab.
Mis on määrdunud lehma haavatavus?
Nagu eelpool mainitud, on Dirty Cow haavatavus teatud liiki privileegide laienemine, mida saab kasutada, et anda kellelegi super-kasutaja privileeg . Põhimõtteliselt võib selle haavatavuse kasutamisega anda igale pahatahtliku tahtega kasutajale endale ülitarbija privileeg, omades seega täielikku juurepääsu ohvri seadmele. Juurdepääsu saamine ohvri seadmele annab ründajale seadme üle täieliku kontrolli ja ta saab kogu seadmesse salvestatud andmed välja võtta, ilma et kasutaja saaks targemaks.
Mis on ZNIU ja milline määrdunud lehm on sellega seotud?
ZNIU on esimene Androidis registreeritud pahavara, mis kasutab Dirty Cow haavatavust Android-seadmete ründamiseks. Pahavara kasutab Dirty Cow haavatavust, et saada juurepääsu ohvri seadmetele. Praegu on tuvastatud, et pahavara peidab rohkem kui 1200 täiskasvanute mängu- ja pornograafilist rakendust. Selle artikli avaldamise ajal on see mõjutanud rohkem kui 5000 kasutajat 50 riigis.
Millised Android-seadmed on ZNIU-le haavatavad?
Pärast Dirty Cow haavatavuse avastamist (oktoober 2016) vabastas Google 2016. aasta detsembris selle probleemi lahendamiseks plaastri. Kuid plaaster vabastati Android-seadmetele, mis töötasid Android KitKat (4.4) või uuemates versioonides . Vastavalt Android OS-i levitamise Google'ile on enam kui 8% Android-nutitelefonidest ikka veel Androidi madalamatel versioonidel. Android 4.4 versioonist Android 6.0 (Marshmallow) töötavatest inimestest on ainult need seadmed ohutud, mis on vastu võtnud ja paigaldanud oma seadmete detsembri turvaplaadi.
See on palju Android-seadmeid, mida on võimalik ära kasutada. Kuid inimesed saavad lohutada, et ZNIU kasutab Dirty Cow haavatavuse mõnevõrra muudetud versiooni ja seega on see leitud olevat edukas ainult nende Android-seadmete vastu, mis kasutavad 64-bitist ARM / X86 arhitektuuri . Siiski, kui olete Android-omanik, oleks parem kontrollida, kas olete detsembri turvaparandus installinud või mitte.
ZNIU: Kuidas see toimib?
Pärast seda, kui kasutaja on alla laadinud pahatahtliku rakenduse, mis on nakatunud ZNIU pahavara vastu, rakenduse käivitamisel võtavad ZNIU pahavara automaatselt ühendust ja ühendavad oma juhtimis- ja kontrolliserveritega, et saada võimalikke värskendusi. Kui see on ennast värskendanud, kasutab ta privileegide laiendamist (Dirty Cow), et saada juurepääsu ohvri seadmele. Kui seadmel on juurjuurdepääs, kogub see kasutajalt seadme andmed .
Praegu kasutab pahavara kasutajaandmeid, et võtta ühendust ohvri võrgukandjaga, esitades kasutaja ise. Pärast autentimist teostab see SMS-põhiseid mikro-tehinguid ja kogub makseid vedaja makseteenuse kaudu. Pahavara on piisavalt intelligentne, et kustutada kõik seadmes olevad sõnumid pärast tehingute toimumist. Seega ei ole ohvril tehingute kohta aimugi. Üldjuhul toimub tehingute tegemine väga väikeste summade puhul ($ 3 / month). See on veel üks ettevaatusabinõu, mille ründaja on võtnud tagamaks, et ohver ei leia fondi ülekandeid.
Pärast tehingute jälgimist leiti, et raha kanti Hiinas asuvale mannekeenile . Kuna vedajapõhiseid tehinguid ei ole lubatud rahvusvaheliselt üle kanda, kannatavad need ebaseaduslikud tehingud ainult Hiinas mõjutatud kasutajad. Kuid väljaspool Hiinat asuvatel kasutajatel on nende seadmesse installitud pahavara, mida saab igal ajal kaugjuhtimisega aktiveerida, muutes need potentsiaalseks sihtmärgiks. Isegi kui rahvusvahelised ohvrid ei kannata ebaseaduslikke tehinguid, annab tagauks ründajal võimaluse seadmesse rohkem pahatahtlikku koodi sisestada.
Kuidas säästa ennast ZNIU pahavara eest
Oleme kirjutanud terve artikli oma Android-seadme kaitsmiseks pahavara eest, mida saate lugeda klikkides siia. Põhiline asi on kasutada tervet mõistust ja mitte installida rakendusi ebausaldusväärsetest allikatest. Isegi ZNIU pahavara puhul oleme näinud, et pahavara toimetatakse ohvri mobiilile, kui nad installivad pornograafilisi või täiskasvanute mängude rakendusi, mille on teinud ebausaldusväärsed arendajad. Selle konkreetse pahavara eest kaitsmiseks veenduge, et teie seade on Google'i praeguses turvaplaanis. Kasutati Google'ilt detsembri (2016) turvaplaaniga, mistõttu igaüks, kellel on selline plaaster paigaldatud, on ZNIU pahavara eest kaitstud. Sõltuvalt teie OEM-ist ei pruugi te siiski värskendust saanud, seega on alati parem olla teadlik kõikidest riskidest ja võtta vajalikke ettevaatusabinõusid. Jällegi on ülal mainitud artiklis mainitud kõike, mida peaksite ja mida sa ei peaks tegema, et teie seadet pahavara nakatumise eest salvestada.
Kaitsta oma Androidi nakatumise eest pahavara eest
Viimase paari aasta jooksul on Androidi vastu ründanud pahavara rünnakuid. Dirty Cow haavatavus oli üks suurimaid ärakasutamisi, mida on kunagi avastatud ja näha, kuidas ZNIU seda haavatavust kasutab, on lihtsalt kohutav. Eriti murettekitav on ZNIU, kuna see mõjutab seadmeid ja piiramatut kontrolli, mida ta ründajale annab. Kui teil on aga probleeme ja vajate ettevaatusabinõusid, on teie seade nende potentsiaalselt ohtlike rünnakute eest kaitstud. Seega veenduge kõigepealt, et värskendate Google'i uusimaid turvaplaane kohe, kui need kätte saadakse, ja hoidke eemal ebausaldusväärsetest ja kahtlastest rakendustest, failidest ja linkidest. Mida arvate, mida peaksite kaitsma oma seadet pahavara rünnakute eest. Anna meile teada oma mõtted sellel teemal, kukutades need allpool olevasse kommentaaride jaotisse.
