Błąd w Google Bouncer - "bramkarza" można oszukać

Stworzony przez Google'a skaner, którego zadaniem jest blokowanie prób wprowadzania do Google Play złośliwych aplikacji dla Androida, może zostać łatwo oszukany - dowiedli dwaj specjaliści ds. bezpieczeństwa. Jednym z nich jest Charlie Miller, który zasłynął wykryciem serii błędów w produktach firmy Apple.

Miller oraz Jon Oberheide opracowali szereg metod, które można wykorzystać do wprowadzenia do Google Play złośliwych programów (opracowane przez nich rozwiązania pozwalają m.in. na zamaskowanie pewnych cech testowych aplikacji).

Skaner Google Bouncer został zaprezentowany w lutym bieżącego roku - firma wprowadziła go niejako w odpowiedzi na uwagi krytyków, którzy narzekali, że koncern przyjmuje do swojego serwisu z aplikacjami wszystko, co zostanie zgłoszone, bez żadnego sprawdzania czy dana aplikacja może zaszkodzić użytkownikowi. Nie bez znaczenia było również z pewnością silne nagłośnienie medialne serii przypadków wykrycia w Android Market (tak wtedy nazywał się ów serwis) kilkudziesięciu złośliwych aplikacji - koncern co prawda skrupulatnie je usuwał, ale dopiero po tym, jak zaszkodziły części użytkowników.

Zobacz również:

Z zapowiedzi przedstawicieli Google wynikało, że Bouncer ma być wyjątkowo skutecznym rozwiązaniem - ponieważ jego działanie nie ograniczało się do prostego skanowania aplikacji pod kątem złośliwego kodu. Kluczowym etapem analizy miało być uruchomienie programu w emulatorze Androida i szczegółowe monitorowanie jego zachowania - to rozwiązanie miało gwarantować 100% skuteczność w wykrywaniu szkodliwego oprogramowania.

Oberheide i Miller dowiedli, że to zabezpieczenie da się łatwo obejść. "Skorzystaliśmy z najprostszego triku na świecie - nasz program wykrywa, że został uruchomiony w emulatorze i w takiej sytuacji "udaje trupa", tzn. nie wykazuje żadnych złośliwych cech. Jeśli zorientuje się, że uruchomiono go w "prawdziwym systemie", natychmiast pobiera z zewnętrznego serwera złośliwy komponent i jest gotowy do działania" - tłumaczy Oberheide.

Specjaliści stworzyli oczywiście demonstracyjną aplikację, wykorzystującą opisany powyżej mechanizm - program pozytywnie przechodzi weryfikację przez Bouncera, a następnie, po uruchomieniu na urządzeniu z Androidem, pobiera dodatkowe polecenia, pozwalające mu na wykonywanie w systemie podstawowych komend linuksowych.

Na potrzeby testów Miller i Oberheide stworzyli sfałszowane konto developera Google Play (co okazało się stosunkowo łatwe) i bez problemu wykorzystali je do wprowadzenia do serwisu testowego programu. Na podstawie danych z analizy tego programu eksperci byli w stanie zorientować się jakie cechy ma wykorzystywany przez Bauncera emulator (co z kolei pozwoliło im na wyposażenie swojego testowego złośliwego programu w opcję wykrywania uruchomienia aplikacji w tymże emulatorze).

Jon Oberheide zaznacza, że nie jest to jedyna metoda obejścia zabezpieczeń zastosowanych w Google Play - więcej sposobów specjaliści zamierzają zaprezentować na rozpoczynającej się w piątek konferencji SummerCon w Nowym Yorku.

Wszystkie problemy zostały już zgłoszone pracownikom zespołu odpowiedzialnego za bezpieczeństwo Androida - aczkolwiek zdaniem ekspertów, ich usunięcie wcale nie będzie łatwym zdaniem. Zaproponowane przez nich zaostrzenie kryteriów testu może bowiem zaowocować zwiększeniem liczby błędnych wskazań bezpiecznych aplikacji jako złośliwe (tzw. false positive), a tego Google z pewnością będzie chciało uniknąć.


TOP 200