:

Szerző: Hlács Ferenc

2016. december 1. 13:18

Egymillió Google-fiókhoz fért hozzá az Andorid-kártevő

Régi Android verziókat támadva egymilliót is meghaladó számú Google-fiók belépési adatait szerezte meg a Googligan malware. A Google biztonsági szakértőkkel közösen már elhárította a veszélyt, a támadássorozat ugyanakkor ismét rávilágít a platform biztonságának tragikus helyzetére.

Több mint egymillió Google-fiók belépési adatait szivárogtatta ki egy androidos kártevő. A Check Point biztonsági szakértői által Gooligan névre keresztelt malware annak ellenére tudott nagy mértékben elterjedni, hogy a mobil operációs rendszer korábbi verzióit veszi célba. Noha a kártevő az Android 4-5-ös főverzióira vadászik, azaz az Ice Cream Sandwich-től a Lollipopig bezárólag, azok a platform komoly fragmentációja miatt a teljes felhasználói bázisnak még mindig közel 74 százalékának eszközein dolgoznak. A rosszindulatú szoftver így továbbra is hatalmas tömegekre jelent potenciális fenyegetést, különösen figyelembe véve a platformra építő készülékgyártók gyér hajlandóságát a biztonsági frissítések kiadására.

A Gooligan harmadik féltől származó, nem megbízható alkalmazásboltokból vagy phising támadások során használt, megtévesztő hivatkozásokból támad. Biztonsági szakértők eddig a külső appboltokban összesen mintegy 86, a kártevővel fertőzött alkalmazást találtak, amelyek az érintett rendszerverziók valamelyikét futtató készülékre kerülve azon root jogosultságot szereznek, ezután pedig egy rootkitet töltenek le rá. A szoftver a Google Play vagy a Google Mobile Services felé felhasználói tevékenységet imitálva megszerzi, és a támadók vezérlőszervereire továbbítja az eszközön a Google-fiókokhoz használt azonosítási tokeneket.

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

Azzal, hogy a felhasználók viselkedését utánozza, a Gooligan az érintett eszközökön a lelepleződést is sikeresen el tudja kerülni. A kártevő az adatlopás mellett képes a Google Play katalógusából alkalmazásokat is telepíteni a fertőzött telefonra, illetve értékelni is azokat, így potenciálisan népszerűsítve a támadókhoz köthető appokat, sőt, adware-ekben is utazik, hogy bevételt generáljon készítőinek.

Az Android ökoszisztéma biztonságának gyászos helyzetét jól mutatja, hogy a kártékony szoftver jól ismert sebezhetőségeket használ ki, mint a már jó három éve ismert VROOT vagy a több mint két éves Towelroot. Ezeket a hibákat az új főverziókban és a biztonsági frissítésekben a Google már hosszú ideje befoltozta, miután azonban a gyártók hajlamosak a megjelenés pillanatától elengedni készülékeik kezét (főleg a belépő-középkategóriában), ezek a javítások az esetek többségében soha nem érkeznek meg az eszközökre - de sokszor az is előfordul, hogy a felhasználók hanyagolják el az egyébként elérhető frissítések telepítését.

A Google biztonsági szakértői az elmúlt hetekben szorosan együtt dolgoztak a Check Point kutatóival a helyzet orvoslásán. A keresőóriás szerint eddig nem találtak rá bizonyítékot, hogy a támadásokban érintett, több mint egymillió (köztük több száz üzleti) Google-fiókhoz illetéktelenek hozzáfértek volna, ahogy arra sem, hogy a támadások előre kiszemelt célpontokra irányultak. A Google továbbá az események hatására egy gyors takarítást is végzett, és egy sor, a hasonló akciókkal kapcsolatba hozható appot törölt a Play Store-ból. A cég emellett a Verify Apps funkciót is frissítette, amely ígérete szerint a jövőben a fenti kártevőket is megállítja, akár a saját alkalmazásboltján kívülről történő telepítések során is. A keresőóriás végül az ellopott beléptető tokeneket is visszavonta, illetve tájékoztatta az áldozatul esett felhasználókat a fiókjuk biztonságba helyezéséhez szükséges lépésekről.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek. November 8-ig early bird kedvezménnyel!

a címlapról