EL3XIR otkriva bugove u Androidu prije hakera
- Objavljeno u Novosti
Istraživači švicarskog Federalnog tehnološkog instituta u Lausanni EPFL, stručnjaci u računalnim i komunikacijskim znanostima, hakiraju i popravljaju Android telefone prije nego sigurnosne propuste u njima otkriju zlonamjerni hakeri.
Do sada su otkrili 31 kritičnu sigurnosnu točku u sustavu Android, istražili rizike i razvili metode i zakrpe kako bi ih otklonili.
"Ranjive točke u pametnim uređajima su Ahilova peta koja može ugroziti najkritičnije aspekte mobilnog uređaja," kaže Mathias Payer koji vodi EPFL-ov HexHive Laboratory koji provodi istraživanja kibernetičke sigurnosti. "Glavni rizik je da hakeri mogu ući u vaš sustav i dobiti doživotni pristup vašim podacima sve dok imate isti telefon. Vaš telefon više nije siguran."
Različiti kritični sigurnosni nedostaci koje su otkrili istraživači mogli su se iskoristiti za krađu osobnih podataka poput podataka o licu, o kreditnoj kartici ili socijalnog osiguranja.
"Proučavali smo Android sustav zbog otvorene prirode njegove platforme, ali slični sigurnosni nedostaci vjerojatno su prisutni i u iPhone ekosustavu. Vidimo mnogo manje istraživanja javne sigurnosti na iPhone uređajima zbog Appleova zatvorenog pristupa koji tjera istraživače da prvo izvrše obrnuti inženjering bitnih informacija koje su javno dostupne na Androidu," objašnjava Payer.
Istraživači kažu da sigurnosne mane Androida (a slično i kod iPhonea) leže u tri sloja kojim Android sustav obrađuje informacije.
Prvi sloj je "secure monitor", odnosno kod koji obrađuje klikove iz i u svijet šifriranih podataka poznatog kao sigurni svijet (secure world).
Drugi sloj podijeljen je na dva dijela, sigurni svijet u kojem su osjetljivi podaci šifrirani i normalni svijet izgrađen na Linux kernelu. Treći sloj nadovezuje se na drugi sloj i sadrži sve aplikacije. Svakodnevne aplikacije, poput aplikacije za fotografije ili aplikacije za razmjenu poruka, u normalnom svijetu razgovaraju sa sigurnim aplikacijama koje se nazivaju Pouzdane aplikacije (TA), kao što je glavna aplikacija za ključeve koja upravlja kriptografskim ključevima ili aplikacija za upravljanje biometrijskim informacijama koje sadrže osjetljive podatke o tome što korisnik radi u sigurnom svijetu.
EPFL tim otkrio je sigurnosne propuste u sva tri sloja Android sustava. Istraživači su razvili program EL3XIR, koji u biti baca neočekivane ulaze u ciljni kod kako bi otkrio softverske nedostatke i ranjivosti, tehniku koja se naziva fuzzing. EL3XIR je otkrio 34 buga u najosnovnijem i najprivilegiranijem sloju sigurnosti Androida, razini sigurnog monitora, od kojih je 17 klasificirano kao sigurnosno kritično (najveća razina rizika).
Istraživači su također otkrili zabunu u načinu na koji sustav Android komunicira s aplikacijama od povjerenja. Zabuna nastaje kada su informacije iz pouzdanih aplikacija pogrešno označene kada se obrađuju između slojeva. Konkretno, ovaj problem utječe na složenu i kritičnu interakciju između dostupnih svakodnevnih aplikacija i pouzdanih aplikacija koje se prvo moraju spustiti kroz sigurni monitor, a zatim napraviti sigurnosnu kopiju kroz sigurni svijet i u pouzdane aplikacije. U 15.000 pouzdanih aplikacija koje je tim analizirao, istraživači su otkrili 14 novih kritičnih sigurnosnih propusta, otkrili 10 tiho popravljenih grešaka koje su dobavljači zakrpali bez obavijesti korisnika i potvrdili 9 poznatih grešaka.
Također su otkrili da bi, ako dobavljači nisu pravilno ažurirali Android sustav sa sigurnim zakrpama, hakeri mogli prisiliti vraćanje na prethodne ranjive verzije pouzdanih aplikacija i dohvatiti osjetljive informacije, ugrožavajući cijeli Android ekosustav kroz troslojnu arhitekturu. Istraživači su skenirali više od 35.000 pouzdanih aplikacija raspoređenih kod brojnih proizvođača telefona.
"Android je složen ekosustav s mnogo različitih dobavljača i uređaja. Krpanje sigurnosnih propusta je složeno," kaže Phillip Mao, doktorant s HexHivea. "Slijedili smo industrijske standarde odgovornim otkrivanjem svih naših otkrića pogođenim dobavljačima i dali smo im 90 dana da razviju zakrpe za svoje sustave, što su i učinili prije objavljivanja bilo kakvih pojedinosti. Uvidi iz naših otkrića i naših automatiziranih alata podržat će osiguranje budućih sustava."
Istraživači EPFL-a savjetuju svim korisnicima Android telefona da održavaju svoj sustav i aplikacije ažurnima instaliranjem ažuriranja kad god postanu dostupna, da preuzimaju aplikacije samo putem provjerenih trgovina aplikacijama i da kupuju uređaje od proizvođača koji jamči duge cikluse ažuriranja.
Svoja otkrića istraživači su predstavili na konferenciji o računalnoj sigurnosti USENIX Security Symposium 24 i objavili ih u tri dokumenta na ovim poveznicama:
Spill the TeA:https://www.usenix.org/conference/usenixsecurity24/presentation/busch-tea
EL3XIR:https://www.usenix.org/conference/usenixsecurity24/presentation/lindenmeierGlobal confusion:https://www.usenix.org/conference/usenixsecurity24/presentation/busch-globalconfusion