تبانی ِ برنامه‌های موبایل، سازوکارهای معمول امنیتی را دور می‌زند!

۷سازوکارهای معمول دستگاه‌های اندروید همچون جعبه شنی، در برابر تهدیدهای مربوط به یک برنامه در آنِ واحد حفاظت می‌کنند ولی اگر چند برنامه با هم تبانی کنند، می‌توانند این سازوکارهای معمول را دور بزنند.
روز چهارشنبه در ۲۶مین کنفرانس بین‌المللی بولتن ویروس، محققان این تهدید را از حالت تئوری به عملی تبدیل کردند. آن‌ها چند برنامه با نسخه‌های آلوده از MoPlus SDK را عرضه کردند که در کنسرت‌ها اجرا شده و هزینه‌ی پیامک‌ها را شارژ کرده و اطلاعات شخصی ذخیره‌شده را به سرقت می‌برد و حتی اجرای بار داده را هم‌گام‌سازی می‌کنند.

در یک سخنرانی با عنوان «تبانی اندرویدهای وحشی»، جورجه بلاسکو۱ از دانشگاه شهر لندن، گفت که برنامه‌های تلفن همراه اغلب برای تبادل اطلاعات بی‌خطر با یکدیگر در ارتباط هستند. اما این روند می‌تواند توسط یک مهاجم که یک برنامه با مجوزهای بالایی دارد بهم بخورد و از این طریق اطلاعات مهم و حساس را از دستگاه قربانی بدست آورده و از طریق اینترنت به برنامه‌ی دیگری ارسال کند. به‌عنوان مثال، می‌تواند این اطلاعات را به کارگزار مهاجم ارسال کند درحالی‌که کاربری در ناآگاهی به سر می‌برد.

بلاسکو گفت: «کاربر اطلاعی از ارتباط میان برنامه‌ها ندارد و نمی‌تواند تصمیمی آگاهانه برای اعطای مجوزها به برنامه‌ها بگیرد.»
مقاله‌ای که بلاسکو و همکارانش در این کنفرانس ارائه دادند، شرح می‌دهد که چگونه ارتباطات بین برنامه‌ای به‌طور مثال در اندروید، می‌تواند محدودیت‌های جعبه‌ شنی را دور بزند. در اندروید این ارتباط از طریق intent همه‌پخشی حاصل می‌شود و پیامی است که عملیاتی که باید انجام شود را توضیح می‌دهد. مهاجمان می‌توانند برنامه‌ها با دسترسی‌های مختلف را مجبور کنند تا داده‌های حساس را از طریق اینترنت به سایر برنامه‌ها ارسال کنند.

محققان نوشتند: «تشخیص این تبانی بین برنامه‌ها بسیار سخت است چرا که هر برنامه سعی می‌کند خود را به‌عنوان ابزاری بی‌خطر نشان دهد. این تکنیک تبانی، مهاجم را قادر می‌سازد تا به دستگاه‌های بیشتری برای بازه‌ی زمانی طولانی‌تر نفوذ کند قبل از اینکه به دام بیفتد.»
بلاسکو در طول سخنرانی خود توضیح داد که این برنامه‌های تبانی‌کننده می‌توانند از کانال‌های بیشتری به علاوه‌ی intent هایی که برای کار با هم نیاز دارند، استفاده کنند. یکی از این کانال‌ها نگه‌دارنده‌ی محتوا در قالب جدول‌هایی خواهد بود که به سایر برنامه‌ها امکان خواندن، به‌روزرسانی و ایجاد جدول و اطلاعات مهم را خواهد داد. ذخیره‌ساز خارجی، کانال دیگری در اندروید است که تمام برنامه‌ها به بخش‌های مختلف آن دسترسی دارند و به کاربرانی که مجوز نوشتن دارند، اجازه‌ی نوستن و خواندن از این حافظه‌ی خارجی را می‌دهد. این حافظه‌ی خارجی می‌تواند به‌عنوان یک دراپ‌باکس مشترک بین برنامه‌های تبانی‌کننده مورد استفاده قرار بگیرد.

بلاسکو می‌گوید، تنظیمات اشتراکی۲ یک کانال کلیدی برای تبانی است. برنامه‌ها جفت ِ کلید-مقدار داده‌ها مخصوصاً داده‌های پیکربندی برنامه‌ها و تنظیمات مشترک را در تنظیمات اشتراکی ذخیره می‌کنند. در نسخه‌های قبل‌تر از اندروید ۴.۴ که SELinux برای سامانه عامل معرفی شد، تنظیمات اشتراکی می‌تواند توسط برنامه‌ها برای برقراری ارتباط مورد استفاده قرار گیرد.

بلاسکو گفت محققان تنظیمات اشتراکی را به‌عنوان نقطه‌ی شروعی برای پیدا کردن تبانی بین برنامه‌ها در نظر می‌گیرند. با استفاده از مجموعه داده‌ی فراهم‌شده توسط Intel Security، ۵۰ هزار برنامه مورد بررسی قرار گرفت و محققان دریافتند که برنامه‌ها برای تبادل داده از حافظه‌ی اشتراکی استفاده می‌کنند تا اجرای بار داده در MoPlus SDK را هم‌گام‌سازی کنند.
برنامه‌ی MoPlus به‌عنوان یک درب ِ پشتی بالقوه در ماه نوامبر ۲۰۱۵ کنار گذاشته شد ولی تبانی بین برنامه هم‌اکنون کشف شده است.

بلاسکو گفت برنامه‌هایی که از MoPlus SDK استفاده می‌کنند، می‌توانند با هم ارتباط داشته باشند و بفهمند که بالاترین سطح دسترسی متعلق به کدام برنامه است. او با یک مثال این مسئله را نشان داد که ۳ برنامه وجود داشت. برنامه‌ای که بالاترین سطح دسترسی و امتیازات را داشت می‌توانست یک کارگزار HTTP را باز کند و دستورات و محتوا را از کارگزار مهاجم دریافت کند.

بلاسکو گفت: «MoPlus SDK که بر روی برنامه‌های مختلف در حال اجراست، از تنظیمات اشتراکی به‌عنوان کانال ارتباطی استفاده می‌کند که یک رهبر برای ارتباط با کارگزار دستور و کنترل انتخاب خواهد کرد. برنامه‌ها با هم تعامل خواهند داشت تا بدانند کدام‌یک بیشترین دسترسی را دارد و به‌عنوان نماینده با کارگزار دستور و کنترل ارتباط برقرار کرده و دستورات را دریافت می‌کند. آن‌ها می‌توانند حمله را بهینه کرده و تنها از برنامه‌ای که بیشترین دسترسی به سامانه دارد را استفاده کنند.»
بلاسکو بیان کرد، محققان تنها این نوع از حملات هم‌گام‌سازی را پیدا کردند ولی هیچ حمله‌ی سرقت اطلاعات در دنیای واقعی یافت نشد.

برای انجام اقدامات متقابل، بلاسکو گفت باید روش‌هایی برای تشخیص تبانی بین برنامه‌ها توسعه داده شود و گوگل نیز محدودیت‌هایی بر روی ارتباطات بین برنامه‌ها اعمال کند. در عین حال، نویسندگان و توسعه‌دهندگان برنامه‌های موبایل باید قبل از گنجاندن کدهای شخص ثالث در برنامه‌های خود، آن‌ها را تحلیل کنند.
بلاسکو در ادامه افزود: «ارتباطات مختلف بین برنامه‌های موبایل، ریسک و تهدیدهای جدیدی را معرفی می‌کند. تبانی بین برنامه‌ها ممکن است چرا که کاربر هیچ اطلاعی از ارتباط بین برنامه‌ها ندارد. کاربران باید مراقب مجوزهایی که به برنامه‌ها اعطا می‌کنند باشند نه اینکه به ارتباطات و داده‌هایی که برنامه‌ها با هم به اشتراک می‌گذارند، توجه کنند.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.