Egyre több támadási kisérlet az okos telefonok felhasználói ellen

A hiba az RFC 5961 specifikáció, az Internet Engineering Task Force védelmére kifejlesztett TCP elleni “blind in-window” támadások veszélyeztethetik Android okostelefonokat, valamint minden Linux számítógépet a bolygón. [* Javítás – augusztus 12, 2016 ]

A Kaliforniai Egyetem IT biztonsági kutatói egy meglehetősen komoly sebezhetőséget fedeztek fel a Linux rendszermagban. Bár erre sokan csak legyintenek, hiszen a köztudatban még mindig a Linux platform néhány százalékos piaci részesedése él, nem szabad elfelejtenünk, hogy az okostelefonok és a webszerverek túlnyomó többségén jelenleg Linux-alapú operációs rendszer fut, tehát egy, az egész világot érintő problémáról beszélhetünk.

A sérülékenység segítségével a támadónak csupán a webszerver és az internetező IP címével kell tisztában lenniük, máris lehetőséget kap a két fél közötti adatkommunikáció manipulálására – már ha az mezei HTTP kapcsolaton keresztül történik. –

A kémprogram olyan szinten képes megfigyelni és lehallgatni a felhasználókat, amelyre még a titkosszolgálatok is csak elismerően bólintanának. Ennek fényében nem kifejezetten jó hír, hogy mostantól gyakorlatilag bárki megfertőzheti vele a telefonunkat. Az RCSAndroid (Remote Control System Android) képes:

  • Rögzíteni a vágólapra másolt tartalmakat
  • Lementeni az aktuális képernyőt
  • Bekapcsolni a mikrofont, így rögzítve a különböző hangokat
  • A felhasználó tudta nélkül képeket készíteni az elő- vagy a hátlapi kamera segítségével
  • Összegyűjteni és továbbítani a különböző jelszavainkat, legyen szó akár Wi-Fi hálózati csatlakozásról vagy népszerű szolgáltatásokról (pl. Facebook, Skype, stb.)
  • Lementeni az SMS-ek és emailek tartalmát
  • Folyamatosan rögzíteni a felhasználó földrajzi helyzetét
  • Lementeni és továbbítani a különböző csevegőkön (Messenger, Hangouts, Skype) küldött és fogadott üzeneteinket
  • Rögzíteni a telefonbeszélgetéseket

Az így megszerzett adatokat a program természetesen nemcsak eltárolja, hanem automatikusan továbbítja is a támadók birtokában lévő szerverre, akik így minden személyes adatunkhoz hozzáférnek. A kémprogram először 2012-ben vált ismertté, a fejlesztői azonban folyamatosan változtatták azt, így a Google és a biztonságtechnikai cégek sem tudták teljesen kiszűrni.

Az RCSAndroid terjedése is problémákat okoz, hiszen nemcsak egyszerű alkalmazásokba rejtve, hanem akár fertőzött üzenetekkel vagy elektronikus levelekkel is tovább adható. Most, hogy gyakorlatilag az összes hacker számára elérhetővé vált a dolog, egyáltalán nem lennénk meglepve, ha a következő időszakban megsokszorozódna a fertőzött készülékek száma.

Szerencsére mivel a programot nyilvánosságra hozták, nemcsak a hackerek, hanem a Google és a különböző szoftveres cégek, valamint mobilgyártók is elkezdhetnek dolgozni azon, hogy mihamarabb immúnissá varázsolják a készülékeket a kártevővel szemben.
A probléma a 2010-ben közzétett RFC 5961 szabvány támogatásában rejlik, ami a Linux 3.6-ban vált támogatottá 2012-ben. Ez azt jelenti, hogy az elmúlt négy évben egy olyan sebezhetőség rejtőzött a rendszermagban, amivel a támadók hamis adatcsomagokat (akár teljes lapokat) küldhetnek az áldozatok számára, eltérítve azok internetezését úgy, hogy látszólag minden a legnagyobb rendben van.

A javítás publikálásáig a Linux-felhasználók és -üzemeltetők maguk is orvosolhatják a problémát. Ehhez csupán a /etc/sysctl.conf fájl végére kell beilleszteniük a

net.ipv4.tcp_challenge_ack_limit = 999999999

sort, majd mentés utána a

sysctl -p

paranccsal alkalmazniuk az új beállítást. A művelethez persze rendszergazdai jogosultságok szükségesek.

Az orosz Doctor Web vírusírtó biztonsági szakértői szintén belefutottak egy új androidos trójai kártevőbe, amely a keresztségben a beszédes Android.DDoS.1.origin nevet kapta felfedezőitől. Különböző kártékony feladatok végrehajtására alkalmas, mint például DDoS ) támadások és SMS üzenetek küldése.

A trójai oly módon terjed, hogy a kiber bűnözők legális androidos alkalmazásnak álcázzák.

Miután feltelepül az okostelefonra, a kártevő készít egy hamis Google Play ikont az asztalon. Ha rákattintanak, tényleg megnyitja a valódi Google Playt, hogy így elkerülje még a gyanú látszatát is.
Persze ezzel egy időben felveszi a kapcsolatot egy távoli szerverrel és elküldi az áldozat telefonszámát, majd további SMS parancsokra vár.

Az Android.DDoS.1.origin mögött álló bűnözők különböző SMS parancsokat küldhetnek. Például utasíthatják a fertőzött eszközt, hogy kezdjen el adatcsomagokkal bombázni egy bizonyos szervert, tehát megindítanak egy DDoS támadást ellene.

Ez a felhasználó szempontjából mindössze annyit jelent, hogy telefonja teljesítménye némileg csökken, de vannak egyéb tevékenységek is, amelyek már érzékenyebben érinthetik a felhasználókat. A bűnözők utasíthatják az eszközt arra is, hogy SMS üzeneteket küldjön bizonyos telefonszámokra. Ezek a nem kívánt SMS-ek beregisztrálhatják az áldozatot akár drága prémium mobilos szolgáltatásokra, vagy csak spamek továbbítására használják fel az SMS-eket.

A prémium besorolású számokra küldött üzenetek jócskán megnövelik az áldozatok telefonszámláját, egyúttal megtömhetik a bűnözők zsebeit.

Okostelefonokra készített biztonsági megoldásokkal, mint a G Data Antivirus Free, minimalizálhatjuk a hasonló kockázatokat.

Forrás: Vírusírtó blog , androbit.net  technewsworld

Hasonló bejegyzések

Copyright © 2018 Itws hUNGARY.HU sz.a.e.v.