The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

29.04.2017 08:14  Анализ уязвимостей в Android-приложениях с открытыми сетевыми портами

Группа исследователей из Мичиганского университета опубликовала доклад о безопасности мобильных приложений для платформы Android, которые открывают сетевые порты в слушающем режиме и принимают на них соединения. Отмечается, что обработка внешних сетевых запросов создаёт угрозу для безопасности мобильных устройств, которая обычно упускается из виду из-за не серверной специфики мобильных приложений. Исследователи разработали специализированную утилиту OPAnalyzer для статического анализа кода, которая выявляет открытие сетевых портов и оценивает наличие типовых уязвимостей в реализации.

Проверка более 100 тысяч приложений из каталога Google Play выявила 1632 программы, принимающие сетевые соединения, половина из которых насчитывает более 500 тысяч загрузок. Исследователи пришли к выводу, что почти половина всех обработчиков сетевых соединений не защищена и может быть использована для организации удалённых атак. Всего при автоматизированной проверке было выявлено 410 уязвимых приложений и 956 потенциальных методов эксплуатации уязвимостей. Вручную было подтверждено наличие уязвимостей в 57 приложениях, в том числе очень популярных, насчитывающих от 10 до 50 млн загрузок и предустанавливаемых на смартфоны некоторых производителей.

Выявленные уязвимости позволяют через отправку запросов на открытый приложением сетевой порт получить доступ к контактам и фотографиям, перехватить параметры аутентификации, установить вредоносное ПО, выполнить свой код на устройстве или отправить SMS на платный сервис. Уязвимости разделены на две категории: ошибки реализаций (например, отсутствие экранирования спецсимволов и ".." в путях) и вредоносные закладки (например, вшитый в приложения инженерный пароль для удалённого доступа).

По решаемым задачам обработчики внешних соединений в мобильных приложениях разделены на пять категорий: организация совместного доступа к данным (69.3%), прокси-сервисы (6.3%), удалённое выполнение операций (6.5%), приём VoIP-вызовов (2.3%) и приложения на базе платформы PhoneGap (14.6%). 60% уязвимостей при организации совместного доступа к данным связаны с ненадлежащим механизмом аутентификации клиента или её отсутствием. Основная проблема с прокси, которые обычно применяются в таких приложениях как фильтры содержимого и блокировщики рекламы, связана с ненадлежащим контролем доступа, что позволяет использовать их как усилитель DDoS-атак, для заметания следов или выделения прокэшированного контента.

Удалённое выполнение операций связано с предоставлением интерфейсов для выполнения определённых действий на телефоне, например отправки SMS с ПК или обращения к хранилищу. Гибридные приложения на базе фреймворка PhoneGap (Apache Cordova) разделены на бэкенд и фронтенд, который оформляется на JavaScript/HTML5. Обработчик PhoneGap должен привязываться к внутреннему сетевому интерфейсу, но по ошибке часто прикрепляется и к внешнему интерфейсу, при этом запросы аутентифицируются по UUID, и вероятность атаки через PhoneGap оценивается как маловероятная.

Для демонстрации возможных методов эксплуатации исследователи подготовили несколько сценариев атак:

  • Доступ к фотографиям атакующим в локальной сети, выполнившим сканирование доступных в сети устройств:
  • Доступ к фотографиям из вредоносного приложения, имеющего только право установки сетевых соединений:
  • Инициирование отправки платных SMS при клике на ссылку в браузере:
  • Перехват параметров аутентификации при работе пользователя с внешним сервисом:


  1. Главная ссылка к новости (https://www.wired.com/2017/04/...)
  2. OpenNews: В Android и старых ядрах Linux устранена уязвимость, эксплуатируемая через отправку UDP-пакетов
  3. OpenNews: Небезопасное хранение данных в менеджерах паролей для платформы Android
  4. OpenNews: Большинство VPN-приложений для Android не заслуживают доверия
  5. OpenNews: Проект Tor представил прототип защищённого смартфона на платформе Android
  6. OpenNews: Исследование негативного влияния на безопасность локального перехвата HTTPS-трафика
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: android, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 09:08, 29/04/2017 [ответить] [смотреть все]
  • +2 +/
    Я правильно понимаю, что для создания слушающего сокета в Android достаточно обы... весь текст скрыт [показать]
     
     
  • 2.3, пох, 10:15, 29/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    а какая разница Идиотская схема безопасности андроида все равно не позволяет ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.6, Аноним, 10:36, 29/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Ключевое слово ручная , а не легко Вообще, даже специалисту в этом вопросе, ... весь текст скрыт [показать]
     
     
  • 4.12, не такой, 12:47, 29/04/2017 [^] [ответить] [смотреть все]  
  • +/
    А нафига специально настраивать на каждой, для начала запретить установку соедин... весь текст скрыт [показать]
     
     
  • 5.13, Аноним, 12:53, 29/04/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Это уже имеется, называется запрет всех соединений для фоновых приложений Работ... весь текст скрыт [показать]
     
     
  • 6.24, Аноним, 16:37, 29/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Чаты и почтовики, ломающиеся от запрета входящих соединений на клиентских устр... весь текст скрыт [показать]
     
     
  • 7.25, Аноним, 17:47, 29/04/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Чаты и почтовики ломаются потому что запрещаются исходящие соединения Я немного... весь текст скрыт [показать]
     
     
  • 8.28, пох, 00:20, 30/04/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    не полные, но мягко говоря, альтернативно одаренные Банальная индусятина Умные... весь текст скрыт [показать]
     
     
  • 9.31, Аноним, 06:28, 02/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Я не знаю, какой идиот тебя минисует, но, чувак, ты безумно прав Хочу добавить,... весь текст скрыт [показать]
     
  • 4.26, пох, 19:21, 29/04/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    неспециалиста все равно поимеют Тут беда в том,что и специалиста тоже Ну и отд... весь текст скрыт [показать]
     
     
  • 5.36, martian_packet, 22:06, 26/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    > не надо путать 127.0.0.1 и lo

    Эмм, а?

     
     
  • 6.37, Andrey Mitrofanov, 11:46, 27/05/2017 [^] [ответить] [смотреть все]  
  • +/
    >> не надо путать 127.0.0.1 и lo
    > Эмм, а?

    $ ping 127.255.255.128

     
  • 3.8, Аноним, 10:52, 29/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    С моделью угроз у них всё в порядке Задача Гугла 8212 чтобы функционал по сбо... весь текст скрыт [показать]
     
     
  • 4.21, пох, 16:13, 29/04/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    вы код-то видели Там все не в порядке, гугл уже давно 100 индусская контора, м... весь текст скрыт [показать]
     
  • 3.11, Гость, 12:32, 29/04/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Про отзыв полномочий не слышал?
     
  • 3.15, Аноним, 13:48, 29/04/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Xposed с XPrivacy решают эту проблему Не доверяете разработчикам - исходники от... весь текст скрыт [показать]
     
     
  • 4.20, пох, 16:06, 29/04/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    эту - решают поделки вида install apk - не решают, разьве что в совсем тривиаль... весь текст скрыт [показать]
     
  • 3.18, Аноним, 15:56, 29/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    ломающие новости андроид 4 3 и 6 позволяют не давать разрешения приложениям че... весь текст скрыт [показать]
     
  • 3.19, Аноним, 15:59, 29/04/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Так уже давно начинаяс 6 0 можно выбирать каким приложениям какие полномочия б... весь текст скрыт [показать]
     
     
  • 4.23, пох, 16:27, 29/04/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    не работает нихрена - у меня есть шестой если бы это работало - пользовался бы... весь текст скрыт [показать]
     
  • 4.33, dmitrmax, 00:30, 03/05/2017 [^] [ответить] [смотреть все]  
  • +/
    А толку Вот ставлю Сбербанк Бизнес Онлайн для юриков Он говорит хочу не жи... весь текст скрыт [показать]
     
  • 3.27, vantoo, 23:58, 29/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Начиная с 6-й версии Андроида, можно вручную отключать ненужные разрешения для к... весь текст скрыт [показать]
     
  • 3.32, rob pike, 22:49, 02/05/2017 [^] [ответить] [смотреть все]  
  • +/
    SELinux на что ... весь текст скрыт [показать]
     
  • 2.5, у, 10:23, 29/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Там вроде нужны особые права на создание сокетов, потом с ними можно делать всё ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, Аноним, 11:50, 29/04/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Когда раньше Под Android 4 написал скрипт и запустил с баша который создал соке... весь текст скрыт [показать]
     
     
  • 4.17, Аноним, 15:22, 29/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Разрешения наследуются от эмулятора терминала вместе с UID
     
  • 1.2, Аноним, 09:33, 29/04/2017 [ответить] [смотреть все]  
  • –4 +/
    Какая вообще разница, когда блин, вайфай дырявый, и вообще, когда есть недоброко... весь текст скрыт [показать]
     
  • 1.16, Аноним, 14:58, 29/04/2017 [ответить] [смотреть все]  
  • +/
    А для исправления и предотвращения что делать На мобилке - Android 6 0 ... весь текст скрыт [показать]
     
     
  • 2.22, пох, 16:16, 29/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    > А для исправления и предотвращения что делать? На мобилке - Android 6.0

    переписывать больное приложение. (файрволлом не поможешь, работать не будет)
    Не, не ваше?

    Значит, windows mobile - ваш выбор. (был бы, если бы не корпорация зла)


     
     
  • 3.29, Ordu, 20:51, 30/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Windows mobile не выбор, ибо сдохла.

    https://www.neowin.net/news/yep-it039s-dead-microsoft-phone-revenue-fell-to-5m

     
     
  • 4.34, пох, 10:44, 03/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    ну так я о том же - нынешняя ms,к сожалению, очаровательно умеет испортить все, чего касается.

     
     
  • 5.35, Ordu, 18:22, 03/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    > ну так я о том же - нынешняя ms,к сожалению, очаровательно умеет
    > испортить все, чего касается.

    Да они все нынешние ничем другим не занимаются, только портят. Достаточно почитать комменты на опеннете и это становится очевидным.

     
  • 1.30, Аноним, 11:05, 01/05/2017 [ответить] [смотреть все]  
  • +1 +/
    Приложения только с открытыми исходниками, F-Droid наше всё 100 защиты не даст... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor