Fizyczny drive-by-download na Androida, czyli jak stracić konto Google

dodał 14 sierpnia 2012 o 21:12 w kategorii Mobilne, Prywatność, Top  z tagami:
Fizyczny drive-by-download na Androida, czyli jak stracić konto Google

W trakcie tegorocznej konferencji ToorCamp przedstawiono nowy rodzaj ataku – fizyczny drive-by-download. Atak ma ograniczone zastosowanie, ale jego skutki mogą być opłakane dla niektórych użytkowników telefonów z Androidem.

Scenariusz ataku, który pokazał Kyle Osborn, specjalista ds. testów penetracyjnych w firmie AppSec Consulting, jest zagrożeniem jedynie dla urządzeń, których użytkownik podniósł swoje uprawnienia do poziomu roota oraz posiadających włączony debugger USB. Problem dotyczy zatem głównie posiadaczy zmodyfikowanego oprogramowania (custom ROM) oraz innych zaawansowanych użytkowników, lubiących grzebać w  systemie operacyjnym swoich telefonów.

Co wiadomo

Niestety, Kyle do tej pory nie opublikował prezentacji ani demonstracji opisywanych problemów. Opieramy się zatem na relacjach osób, które widziały pokaz na żywo oraz na dokumentacji oprogramowania, udostępnionego już od jakiegoś czasu w sieci.

Atak, zademonstrowany przez Kyle’a w trakcie konferencji, polegał na połączeniu dwóch telefonów kablem USB. Następnie, korzystając ze skryptów adb własnego autorstwa, Kyle skopiował z zaszyfrowanego i zabezpieczonego blokadą ekranu Galaxy Nexusa pełną bazę danych aplikacji Google. Jakby tego było mało, na podłączonym telefonie zainstalował fałszywy certyfikat oraz serwer proxy, wykonał połączenie do serwera Google oraz przejął token uwierzytelniający użytkownika. Przeniesienie tokenu na drugi telefon umożliwiło mu pełna synchronizację urządzenia do przejętego konta – skopiowały się nawet klucze WPA zapisane otwartym tekstem! Co gorsza, posiadanie cudzego tokenu umożliwia zmianę hasła konta Google – i to bez względu na to, czy użytkownik ma włączone dwuczynnikowe uwierzytelnienie.

Czego nie wiemy

Nie do końca jest jasne, jaki rodzaj blokady ekranu był aktywny w atakowanym telefonie. Jeden z wpisów na Twitterze sugeruje, że mogła być to tylko blokada typu „przesuń, by odblokować”. Wg widza prezentacji krótka sonda, przeprowadzona przez autora wśród czytelników Reddita wykazała, że 70% z nich ma na swoich telefonach z Androidem uprawnienia roota, 56% ma włączone adb a 41% blokuje ekran opcją „przesuń, by odblokować”. Inny wpis mówi, że kod PIN zabezpieczy telefon przed atakiem. Z kolei dokumentacja aplikacji autorstwa Kyle’a opisuje funkcję usuwania blokady ekranu.

Gdzie jest ta aplikacja?

Kyle już kilka miesięcy temu opublikował opracowane przez siebie skrypty oraz aplikację AntiGuard. Na podstawie skryptów powstała także inna aplikacja o nazwie Raider, dostępna w sklepie Google.

Jak chronić się przed tym atakiem?

Scenariusz obronny jest dość prosty – wystarczy wyłączyć adb/debugging USB. Atak staje się wtedy całkowicie nieskuteczny.