Спецпроекты

Безопасность Бизнес Интернет Мобильность

Хакеры придумали атаку нового типа для взлома Android и iPhone

Эксперты по безопасности Оксфордского университета обнаружили, что программные библиотеки, используемые в нескольких мобильных приложениях, могут быть задействованы для повышения привилегий и вывода данных о пользователях. Этим открытием уже пользуются рекламщики. Речь пока идет только об Android, но iOs в теории тоже может быть уязвима.

«Внутрибиблиотечное пособничество»

Исследователи из Оксфордского университета, занимающиеся вопросами информационной безопасности, заявили, что обнаружили новую своеобразную тенденцию — использование общих библиотек в разных мобильных приложениях для изменения уровня привилегий.

Таким образом, если в системе установлены два приложения с разными привилегиями, но использующие одну и ту же библиотеку, то с ее помощью информацию из приложения с более высокими привилегиями можно перетащить в приложение с более низкими.

«В своей работе мы описываем новаторскую и потенциально катастрофичную атаку, нацеленную на повышение привилегий, которая может производиться сторонними библиотеками, — говорится в исследовании. — Атака, которую мы назвали "внутрибиблиотечное пособничество", происходит, когда библиотека, используемая более чем одним приложением на одном и том же устройстве, использует совокупный набор всех выданных ей разрешений для вывода значимых данных о пользователе».

Исследователи утверждают, главным катализатором «внутрибиблиотечного пособничества» оказывается неспособность системы разрешений Android разделять привилегии библиотек и приложений, которые их используют. А у разработчиков, со своей стороны, нет никакого желания поддерживать разделение привилегий библиотек, поскольку это может негативно сказаться на их доходах. В итоге «внутрибиблиотечным пособничеством» активно пользуются рекламодатели. Как установили исследователи, популярные библиотеки производят утечки существенных пользовательских данных в среднем 2,4 раза за день, и ежедневно личные данные пользователей попадают на разные рекламные серверы — в среднем на 1,7 сервера в день.

В то время как исследователи сосредоточились на эксплуатации этой особенности рекламщиками, потенциал для использования «внутрибиблиотечного пособничества» для вредоносного ПО также велик. Более ранние исследования показали, что до 7% приложений в Google Play Store содержат потенциально вредоносные библиотеки.

Исследователи также отметили, что под угрозой может быть и платформа iOs, поскольку контроль доступа приложений в двух ведущих мобильных операционных системах реализован сходным образом. Впрочем, пока что наличие этой угрозы является скорее теорией.

Угроза растет

Исследователи изучили около 30 тыс. смартфонов и пришли к выводу, что многие популярные сторонние библиотеки «обладают потенциалом собирать значительное количество пользовательских данных» с помощью «внутрибиблиотечного пособничества», риски которого, по утверждению исследователей, за последние два с половиной года существенно выросли.

«Это, вероятнее всего, связано с тем, что появляется все больше стандартных библиотек, которые разработчики используют для экономии времени и усилий, — говорит Георгий Лагода, генеральный директор компании SECConsultServices. — Проще и логичнее использовать нужные сторонние наработки, чем кустарно разрабатывать собственные, тем более, что обычно мало-мальски распространенные библиотеки написаны "чисто", не содержат откровенно вредоносных компонентов и более-менее проверены на наиболее распространенные уязвимости — не говоря уже о том, что за багами в библиотеках с открытым кодом внимательно присматривает сообщество разработчиков. Другое дело, что архитектурные особенности самих операционных систем могут оказываться уязвимыми».

Исследователи декомпилировали 15 тысяч приложений с более чем миллионом закачек, чтобы выяснить, какие библиотеки где используются, и составили 18 самых популярных из них.

Список наиболее популярных библиотек в мире

Как легко заметить, в списке немало знакомых наименований — Facebook, Unity3D, Adobe и т. д.

Роман Георгиев

Короткая ссылка