بدافزار

بدافزارها می‌توانند از سد جدیدترین اقدامات امنیتی اندروید ۱۳ عبور کنند.

درحال‌حاضر، هکرها روی جدیدترین نسخه‌ی اندروید گوگل تمرکز کرده‌اند و موفق شده‌اند با توسعه‌ی بدافزاری جدید، از سد جدیدترین موانع امنیتی اندروید ۱۳ عبور کنند.

گوگل اندروید ۱۳ را در ماه آگوست منتشر کرد و هکرها هم اکنون در نظر دارند آخرین اقدامات امنیتی این شرکت را دور بزنند. تیمی از محققان بدافزاری را فهمیده اند که در حال انجام است که از تکنیک جدیدی برای فرار از محدودیت‌های جدید گوگل در مورد دسترسی اپلیکیشن‌ها به خدمات دسترسی استفاده می‌کند. استفاده نادرست از سرویس‌های دسترس‌پذیری، شناسایی رمزهای عبور و داده‌های خصوصی را برای بدافزارها آسان‌تر می‌کند و از این رو یکی از پرکاربردترین دروازه‌ها برای بازیگران بد در اندروید است.

برای اینکه بفهمیم چه اتفاقی می‌افتد، باید قبل از ورود به آن، اقدامات امنیتی جدید Android 13 را بررسی کنیم. Android 13 دیگر به برنامه‌های جانبی اجازه نمی‌دهد تا به سرویس‌های دسترس‌پذیری دسترسی داشته باشند، مگر اینکه با استفاده از راه‌حلی پیچیده، مجوز برنامه مذکور را اعطا کنید. این به معنای محافظت در برابر بدافزارهایی است که ممکن است شخص بی‌تجربه‌ای از خارج از فروشگاه Play دانلود کرده باشد، مانند برخی از اسکنرهای کد QR اشاره داشت، چنین برنامه‌ای معمولاً از کاربران می‌خواهد که به آن اجازه استفاده از سرویس‌های دسترس‌پذیری را بدهند، اما این گزینه دیگر به‌آسانی برای این نوع بدافزارها دردسترس نیست.

با‌توجه‌به اینکه سرویس‌های دسترسی‌پذیری گزینه‌ای قانون برای برنامه‌هایی محسوب می‌شود که قصد دارند گوشی‌های هوشمند را برای افرادی که نیاز دارند دردسترس‌تر کنند، گوگل نمی‌خواهد استفاده از این خدمات را برای‌ همه‌ی برنامه‌ها ممنوع کند. اپلیکیشن‌های دانلود‌شده از گوگل‌پلی از این قاعده مستثنی هستند و همین‌ امر برای برنامه‌هایی نیز صادق است که ازطریق فروشگاه‌های اپلیکیشن غیررسمی بارگیری می‌شوند؛ ازجمله F-Droid یا فروشگاه اپلیکیشن آمازون.

درواقع این ویژگی برای برنامه‌های منتشر‌شده در فروشگاه‌های شخص‌ ثالث دردسترس است که ازطریق API نصب بسته‌ی مبتنی‌بر جلسه بهره می‌برند. گوگل برای این تصمیم‌گیری خود استدلال می‌کند که فروشگاه‌های دیگر معمولاً برنامه‌ها را پیش از ارائه به کاربران بررسی می‌کنند و درواقع، خط دفاعی در آن‌ها وجود دارد. این معافیت دقیقاً همان چیزی است که هکرها در آخرین اکسپلویت‌های خود از آن بهره می‌برند.

ThreatFabric دریافت که توسعه‌دهندگان بدافزار برخی از افراد گروه Hadoken هستند که قصد دارند روشی جدید را روی بستر بدافزارهای قدیمی توسعه دهند و از خدمات دسترسی‌پذیری آن‌ها برای به‌دست‌آوردن بینش درباره‌ی داده‌های شخصی هدف خود استفاده می‌کنند. ازآ‌ن‌جا‌که اعطای دسترسی به برنامه‌های جانبی در اندروید ۱۳ دشوارتر است، بدافزار جدید در دو بخش ارائه می‌شود و درواقع، برنامه‌ای است که کاربر آن را نصب می‌کند.

 

این اپلیکیشن مانند فروشگاه برنامه از همان API نصب بسته‌ی مبتنی‌بر جلسه بهره می‌برد تا قطعه کد واقعی بدافزار را بدون محدودیت در فعال‌سازی سرویس‌های دسترسی روی دستگاه هدف نصب کند. درحالی‌که بدافزار همچنان می‌تواند از کاربران درخواست کند که سرویس‌های دسترسی‌پذیری را برای برنامه‌های جانبی فعال سازد، راهکار استفاده‌شده برای انجام‌ این کار، بسیار جالب است. فریب‌دادن کاربران برای فعال‌کردن خدمات دسترسی با یک‌ ضربه، آسان‌تر از آن چیزی است که این حمله‌ی دوگانه‌ی جدید به آن دست می‌یابد.

 

ThreatFabric خاطرنشان می‌کند که بدافزار مذکور هنوز در مراحل اولیه‌ی توسعه‌ است و این شرکت نام آن را BugDrop تعیین کرده است. پیش‌ازاین، گروه Hadoken پروژه‌ی قطره‌چکانی دیگری به‌ نام Gymdrop را راه‌اندازی کرده بود که بستری برای توزیع بدافزارهای دیگر نیز فراهم می‌ساخت. این گروه بدافزار بانکی دیگری به‌ نام Xenomorph را نیز ساخته است که همگی از خدمات دسترسی‌پذیری اندروید بهره می‌برند. درنهایت، توصیه می‌شود تا آنجا که امکان دارد، اجازه‌ی استفاده از خدمات دسترسی‌پذیری را برای برنامه‌های مختلف و به‌خصوص آن‌هایی که از سازنده‌ی آن‌ها اطمینان ندارید، صادر نکنید.

منبع:zoomit

نوشته های مشابه

دکمه بازگشت به بالا