کمیته رکن چهارم – درحالحاضر، هکرها روی جدیدترین نسخهی اندروید گوگل تمرکز کردهاند و موفق شدهاند با توسعهی بدافزاری جدید، از سد جدیدترین موانع امنیتی اندروید ۱۳ عبور کنند.
ماه آگوست، گوگل رسماً اندروید ۱۳ را منتشر کرد و هکرها اکنون قصد دارند جدیدترین اقدامات امنیتی این شرکت را دور بزنند. تیمی از محققان امنیتی بدافزاری در حال پیشرفت را کشف کردهاند که از تکنیک جدیدی برای فرار از محدودیتهای اخیر غول جستوجوی اینترنت در سیستمعامل موبایلی این شرکت بهره میبرد که از مجوز اپلیکیشنها برای دسترسی به خدمات مخصوص افراد کمتوان بهره میبرد. استفادهی نادرست از این دسترسیها شناسایی رمزهای عبور و دادههای خصوصی را برای بدافزارها آسانتر میکند؛ بههمیندلیل، یکی از پرکاربردترین دروازهها برای مهاجمان در اندروید بهحساب میآید.
برای اینکه درک کنیم بدافزارهای جدید برای دورزدن موانع امنیتی اندروید ۱۳ چگونه عمل میکنند، باید ابتدا اقدامات امنیتی جدید این سیستمعامل را بررسی کنیم. اندروید ۱۳ دیگر به برنامههای جانبی اجازه نمیدهد از سرویسهای دسترسیپذیری مخصوص افراد کمتوان استفاده کنند؛ مگر اینکه با بهرهگرفتن از راهکاری پیچیده، مجوزهای لازم برای اپلیکیشن مذکور اعطا شود.
این ویژگی باعث محافظت دربرابر بدافزارهایی خواهد شد که امکان دارد کاربران بیتجربه بهطورناخواسته آنها را از منابع خارج از فروشگاه گوگلپلی دانلود کرده باشند که ازجمله میتوان به برخی برنامههای اسکن کدهای QR اشاره کرد. چنین اپلیکیشنهایی معمولاً از کاربران درخواست میکنند اجازهی استفاده از سرویسهای دسترسیپذیری را به آنها اعطا کنند؛ اما این گزینه دیگر بهآسانی برای این نوع بدافزارها دردسترس نیست.
باتوجهبه اینکه سرویسهای دسترسیپذیری گزینهای قانون برای برنامههایی محسوب میشود که قصد دارند گوشیهای هوشمند را برای افرادی که نیاز دارند دردسترستر کنند، گوگل نمیخواهد استفاده از این خدمات را برای همهی برنامهها ممنوع کند. اپلیکیشنهای دانلودشده از گوگلپلی از این قاعده مستثنی هستند و همین امر برای برنامههایی نیز صادق است که ازطریق فروشگاههای اپلیکیشن غیررسمی بارگیری میشوند؛ ازجمله F-Droid یا فروشگاه اپلیکیشن آمازون.
درواقع این ویژگی برای برنامههای منتشرشده در فروشگاههای شخص ثالث دردسترس است که ازطریق API نصب بستهی مبتنیبر جلسه بهره میبرند. گوگل برای این تصمیمگیری خود استدلال میکند که فروشگاههای دیگر معمولاً برنامهها را پیش از ارائه به کاربران بررسی میکنند و درواقع، خط دفاعی در آنها وجود دارد. این معافیت دقیقاً همان چیزی است که هکرها در آخرین اکسپلویتهای خود از آن بهره میبرند.
ThreatFabric دریافت که توسعهدهندگان بدافزار برخی از افراد گروه Hadoken هستند که قصد دارند روشی جدید را روی بستر بدافزارهای قدیمی توسعه دهند و از خدمات دسترسیپذیری آنها برای بهدستآوردن بینش دربارهی دادههای شخصی هدف خود استفاده میکنند. ازآنجاکه اعطای دسترسی به برنامههای جانبی در اندروید ۱۳ دشوارتر است، بدافزار جدید در دو بخش ارائه میشود و درواقع، برنامهای است که کاربر آن را نصب میکند.
این اپلیکیشن مانند فروشگاه برنامه از همان API نصب بستهی مبتنیبر جلسه بهره میبرد تا قطعه کد واقعی بدافزار را بدون محدودیت در فعالسازی سرویسهای دسترسی روی دستگاه هدف نصب کند. درحالیکه بدافزار همچنان میتواند از کاربران درخواست کند که سرویسهای دسترسیپذیری را برای برنامههای جانبی فعال سازد، راهکار استفادهشده برای انجام این کار، بسیار جالب است. فریبدادن کاربران برای فعالکردن خدمات دسترسی با یک ضربه، آسانتر از آن چیزی است که این حملهی دوگانهی جدید به آن دست مییابد.
ThreatFabric خاطرنشان میکند که بدافزار مذکور هنوز در مراحل اولیهی توسعه است و این شرکت نام آن را BugDrop تعیین کرده است. پیشازاین، گروه Hadoken پروژهی قطرهچکانی دیگری به نام Gymdrop را راهاندازی کرده بود که بستری برای توزیع بدافزارهای دیگر نیز فراهم میساخت. این گروه بدافزار بانکی دیگری به نام Xenomorph را نیز ساخته است که همگی از خدمات دسترسیپذیری اندروید بهره میبرند. درنهایت، توصیه میشود تا آنجا که امکان دارد، اجازهی استفاده از خدمات دسترسیپذیری را برای برنامههای مختلف و بهخصوص آنهایی که از سازندهی آنها اطمینان ندارید، صادر نکنید.
منبع : زومیت