Android - úvod do security

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: infinity :)
Datum: 19.7.2013
Hodnocení/Hlasovalo: 1.36/59

Tento článek byl původně sepsán jako TOP 10 Security aplikací pro Android, ale po setkání s .cCuMiNnem. a Emkeiem jsem se rozhodl předat zdejší komunitě něco víc. Dnes bych Vám tedy chtěl přiblížit cestu zvanou Android, relativně novou a na naší scéně neprobádanou možnost penetračního testování.


Žijeme ve světe, kde se technologie vyvíjí neuvěřitelným tempem. Když jsme začínali pronikat do světa security, nástroje a odborné články nebyly tak dostupné, jako dnes. Ovšem v IT světě je něco nového každým dnem, je velmi složité udržet si přirozený rozhled. Spousta lidí byla nucena vybrat si jeden obor, rozvíjet se v něm a stát se profesionálem. Tak jako si většina z nás v rané fázi položila otázku, jaký programovací jazyk zvolit, postupem času přišla volba Linux nebo Windows. Žádná odpověď není správná, vše má své klady i zápory. V životě přicházejí rozhodnutí, kterým musíte čelit, cesta, kterou zvolit. Já jsem se před nějakou dobou rozhodl pro Android tablet. Dobrá zpráva pro všechny vlastníky smartphonu/tabletu, můžete se těšit na seriál o penetračním testování. Snad nikomu nebude vadit, když si pro začátek projdeme úvod do security, věřte, že to pro vás bude lepší než slepě instalovat kdejakou hacking aplikaci. Stačí, že jsem se několikrát spálil já :)


Něco málo z historie Androidu

Říjen 2003:

V Kalifornii byla založena společnost Android Inc.

Srpen 2005:

Google Inc. odkoupil v té době nepříliš známou „startup“ firmu Android Inc. a udělal z ní svoji dceřinou společnost.

Září 2007:

Tým Googlu vyvinul platformu založenou na Linuxovém jádře a získal několik patentů v oblasti mobilních technologií.

5. Listopadu 2007:

Vzniklo konsorcium zvané Open Handset Alliance, uskupené ze členů jako Google, HTC, Intel, LG, Motorola, NVIDIA, Samsung atd. V ten samý den Open Handset Alliance ohlásil svůj první produkt, Android, otevřenou mobilní platformu postavenou na jádře Linux verze 2.6

Říjen 2008:

Ve Spojených státech amerických byl uveden první komerční telefon vyrobený firmou HTC s operačním systémem Android.

Leden 2009:

První telefon s Androidem byl uveden na trh pro Českou republiku.

26. Říjen 2009:

Byla uvolněna aktualizace Android 2.0/2.1 (Eclair) s podporou Bluetooth 2.1.

20. Květen 2010:

Android 2.2 (Froyo) ~ Tato aktualizace přinesla možnost instalovat aplikace na paměťovou kartu, vytvořit z telefonu WiFi hotspot, nebo sdílet internetové připojení přes kabel USB.

6. Prosinec 2010:

Android 2.3/2.4 (Gingerbread) ~ Podpora pro Near Field Communication, který dnes podporují některé mobilní telefony a tablety. Dále byla zavedena technologie NX bit pro CPU sloužící k oddělení paměti pro instrukce procesoru (strojového kódu) a pamětí pro data.

22. Únor 2011:

Android 3.0/3.1/3.2 (Honeycomb) ~ Optimalizace pro velké obrazovky tabletů, USB Host. Možnost plného šifrování souborového systému s 128bit AES klíčem odvozeným z hesla uživatele.

19. Říjen 2011:

Android 4.0/4.0.4 (Ice Cream Sandwich) ~ Address space layout randomization - metoda počítačové bezpečnosti, která umisťuje strojový kód programu, knihovny a data v operační paměti od náhodně zvolené adresy. Cílem je znemožnit některé typy útoků a exploitů.

9. Červenec 2012:

4.1/4.2/4.3 (Jelly Bean) ~ Tato aktualizace zablokovala u všech aplikací rozesílání SMS bez interakce uživatele. Dále je zabudována základní anti-malware ochrana, znemožňující například stahování a instalaci aplikací na pozadí.

Trocha statistiky

Od roku 2009 do 2010 byl zaznamenán nárůst mobilního malware o 250%. Roku 2011 byl nárůst o 400%. V roce 2012 byl nárůst dokonce o 614%. Společnost Lookout uvedla, že za rok 2013 počítá s 18 miliony nakaženými telefony a tablety s Androidem.

V roce 2012 společnost Juniper analyzovala 1 850 000 aplikací pro android z 500 různých marketů. Z toho 267 259 obsahovalo malware.

V květnu tohoto roku Google oznámil 900 milionů aktivovaných Android zařízení a 48 miliard stažených aplikací z Google Play.

Podle serveru SANS.org stále cca 80% až 85% uživatelů nepoužívá na svém Android zařízení antivir. Dále pak každý pátý uživatel s antivirem již zaznamenal nějakou hrozbu malware.


Android a historie malware

9. Srpen 2010: SMS.AndroidOS.FakePlayer.a

První SMS Android Malware. Aplikace slouží jako Media Player. Jakmile je nainstalována na telefonu, trojan začne rozesílat SMS na premium čísla.

17. Srpen 2010: AndroidOS_Droisnake.A

Jedná se o první GPS Spy malware. Aplikace se tváří jako klasická hra Snake známá z nokie, "hra" slouží jako zástěrka pro špionážní aplikaci, která běží na pozadí a odesílá GPS souřadnice na server.

14. Září 2010: SMS.AndroidOS.FakePlayer.b

První porno malware pro android! Tento malware je varianta SMS.AndroidOS.FakePlayer.A. Aplikace nazvaná pornoplayer.apk s pornografickou ikonou slibuje přísun erotických obrázků zdarma. Po spuštění aplikace bohužel uživatel žádnou erotiku neuvidí, aplikace pouze odešle 4 premium SMS.

13. Říjen 2010: SMS.AndroidOS.FakePlayer.c

Pornografie je zpět. Třetí varianta malwaru SMS.AndroidOS.FakePlayer.A. Nová aplikace odešle pouze 2 premium SMS na náklady uživatele. Postupem času se objevilo ještě pár variací, autor si ale zřejmě vydělal dostatek peněz a zaměřil se na více sofistikovaný malware.

29. Prosinec 2010: Android.Geinimi

První příklad botnetu postaveného na Android zařízeních. Škodlivý kód byl vložen do legitimních her a distribuován po čínských a ruských sítích. Jakmile je malware nainstalovaný, začne přijímat příkazy od serveru a útočník je schopný ovládat celý telefon. Konkrétně shromažďuje GPS souřadnice, identifikátor telefonu IMEI a sim karty IMSI.

14. Únor 2011: Android.Adrd

Nový malware pro tvorbu botnetu zaměřený především na Čínu. Podobně jako Android.Geinimi sbírá IMEI, ale umí méně příkazů.

22. Únor 2011: Android.Pjapps

Nový trojský kůň vkládaný do aplikací třetích stran. Slouží k otevření zadních vrátek do systému a přijem příkazů ze serveru.

1. Březen 2011: Android.DroidDream

První příklad nové generace mobilního malware šířeného přes Android Market, dle Symantecu bylo napadeno 50.000 až 200.000 uživatelů. Použitím dvou nástrojů (rageagainstthecage and exploid) se snaží o root telefonu.

9. Březen 2011: Android.BgServ

6. Března 2011 vydal Google nástroj Android Market Security tool k odstranění malware DroidDream. Tento trojan je převlečený právě za tento security tool a napadá dalších minimálně 5000 uživatelů. Jedná se o první vážnou demonstraci toho, jak je Android Market nezabezpečený.

20. Březen 2011: Android.Zeahache

Trojský kůň, který uživateli umožňuje přístup na neoficiální čínské markety, skrytě provede root zařízení a "připraví" mobil pro budoucí hrozby. Stejná aplikace byla objevena i na Android marketu, ale u ní se exploit nespouštěl.

30. Březen 2011: Android.Walkinwat

Ručně instalovaná aplikace z neoficiálních marketů, trojan umožňuje provádět následující akce: přistupovat ke kontaktům v adresáři, zobrazovat informace o síti, ovládání vibrací telefonu, sledování pomocí GPS, zahájení telefonního hovoru, zapnutí internetu, vypnutí telefonu. Tento malware je originální tím, že pomocí notifikací upozorňuje uživatele, aby nestahovali aplikace z neověřených zdrojů.

9. Květen 2011: Android.Adsms

Nový druh malware zaměřený na uživatele China Mobile. Malware se šíří pomocí odkazu zaslaného prostřednictvím SMS. Uvedená zpráva se tváří jako oznámení operátora ke stažení bezpečnostního patche z uvedeného odkazu. Po stažení rozesílá SMS na premium čísla.

22. Květen 2011: Android.Spacem

Trojan přestrojený za pirátskou aplikaci "Holy Fucking Bible", která byla velmi kontroverzní a populární v Severní Americe. Po restartu telefonu odesílá na kontrolní server telefonní číslo a kód operátora. Dále se připojuje každých 33 minut na server a vyčkává na příkazy. Tento malware byl originální v tom, že dokázal se serverem komunikovat i prostřednictvím sms.

31. Květen 2011: Android.LightDD

Nová verze trojanu Android.DroidDream, přezdívaná DroidDreamLight, byla nalezena v 24 aplikacích od 5 různých vývojářů distribuovaných v Android Marketu. Infikováno bylo cca 120 000 uživatelů.

27. Červenec 2011: Android.Nickispy

Trojský kůň, který monitoruje polohu prostřednictvím GPS a Wifi. První druh Android malware, který je schopný zaznamenávat telefonní hovory.

9. Srpen 2011: Android.NickiBot

Patří do stejné rodiny jako Android.Nickispy. Rozdíl je v tom, že příkazy přijímá pouze prostřednictvím SMS. Nahrané hovory, GPS souřadnice a jiné odesílá prostřednictvím e-mailu.

Antivir pro mobil/tablet?

Postupem času se objevila spousta malware s podobnými funkcemi, jako je uvedený výčet. Za zmínku stojí například phishing aplikace tvářící se jako internetové bankovnictví, nebo malware umožňující používat napadený mobil jako proxy server. Sběr informací se přesunul na sociální sítě, malware se šíří například přes reklamy v důvěryhodných aplikacích.

V současné době, navíc s rootnutým zařízením, je většinou velmi těžké malware odstranit. Některé druhy jsou tak sofistikované, že je běžný free antivirus nemá šanci odhalit. Pokud i tak máte náladu stahovat aplikace z neověřených zdrojů, doporučuji minimálně kontrolu na mobilesandbox.org (Obdoba VirusTotal.com pro mobilní aplikace).

Bohužel ani instalace aplikací výhradně z Android marketu (Google Play) neznamená bezpečí pro vaše data. Platforma Android se snaží uživatele varovat o tom, jaké informace nebo služby aplikace využívá. Takže když legitimní aplikace například pro kontrolu stavu baterie vyžaduje přístup ke kontaktům, něco je špatně. Problém je, že naprostá většina uživatelů ignoruje varování při instalaci. Není se čemu divit, běžný uživatel aplikaci potřebuje a prostě nerozumí tomu, co uvedené oprávnění znamená.


Oprávnění při instalaci

Když si aplikace při instalaci na vaše android zařízení vyžádá konkrétní oprávnění, bez povolení všeho nemůžete instalovat. Tato oprávnění jsou rozhodující pro celkovou bezpečnost vašeho systému. Zde je vysvětlení toho, co některé z těchto oprávnění znamenají a jak důležité jsou:

Make Phone Calls:

Střední důležitost
Tato služba umožňuje přístup ke službám, které mohou stát peníze (telefonní hovory). S tímto se setkáte například u aplikací na blokování příchozích hovorů/sms.

Send SMS or MMS:

Střední až vysoká důležitost
Tato služba umožňuje posílat textové nebo multimediální zprávy, které vás můžou stát peníze. Například SMS Backup, nebo SMS brány.

Modify or Delete SD Card Contents:

Střední důležitost
Tato služba umožňuje aplikaci číst a zapisovat na kartu SD. Primární využití této služby je přidat/editovat/mazat soubory (například obrázky a další multimédia, poznámky, atd.) a je používána mnoha legitimní aplikacemi. Doporučuji důležitá data na kartě šifrovat.

Read Contact Data/Write Contact Data:

Velká důležitost
Popis mluví za vše, a pokud aplikace skutečně vyžaduje přístup ke kontaktům a nemá s nimi nic společného, rozhodně neinstalovat.

Read Calendar/Write Calendar Data:

Střední až vysoká důležitost
Stejné upozornění platí pro kalendář, protože události v kalendáři mohou obsahovat kontakty.

Read Phone State and Identity:

Střední až vysoká důležitost
Aplikace musí znát stav vašeho telefonu (jinak by mohla např. nechtěně přerušit telefonní hovor). Pomocí tohoto oprávnění může aplikace číst IMEI, IEMI, IMSI čísla.

Fine Location (GPS):

Velká důležitost
Díky tomuto oprávnění vás aplikace dokáže poměrně přesně sledovat. Instalovat pouze u navigačních aplikací atd.

Coarse Location (GPS):

Střední až vysoká důležitost
Stejná funkce jako Fine Location, akorát umístění není tak přesné. Toto oprávnění by mělo stačit pro aplikace typu "Nejbližší restaurace".

Full Internet Access:

Velká důležitost
Toto oprávnění je velmi sporné, spousta cloud-based aplikací (Twitter, Facebook, ...) vyžaduje vždy aktivní přístup. Všechny aplikace, které vyžadují tuto službu je třeba pečlivě zvážit. Malware si může například v noci zapnout wifi a nepozorovaně se zapojit do DDos útoku.

Jak se brání Android?

Jak se bránit sám?


Antiviry pro Android

Zde je seznam nejznámějších antivirů pro Android. Dle mého názoru se v současné době nevyplatí platit za licenci, ovšem nějakou free verzi vřele doporučuji. Pokud používáte smartphone/tablet výhradně na práci, neinstalujete hry a aplikace pro zábavu, jste relativně v bezpečí. Nezapomeňte ale na fakt, že Android je postaven na Linuxovém jádru a sem tam se objeví nějaký ten exploit. Pro představu se můžete podívat na již veřejné a záplatované exploity, většinou jde o ty kritické a jistě budou přibývat: Android vulnerability list

Penetrační testování s androidem

Teď když máte představu jaké jsou hrozby při instalaci aplikací z neoficiálních zdrojů se můžeme v dalším díle zaměřit na to, jak ze svého Android zařízení udělat nástroj pro penetrační testování. Předvedeme si TOP Security nástroje a nějaké hardware gadgety.

Seznam použitých zdrojů:
http://cs.wikipedia.org/wiki/Android_(opera%C4%8Dn%C3%AD_syst%C3%A9m)
http://www.slideshare.net/JungPilChoi/android-security-from-linux-to-jelly-bean
http://hackmageddon.com/tag/android-pjapps/
http://www.techrepublic.com/blog/smartphones/are-antivirus-applications-necessary-on-the-android-mobile-platform/
http://bytesoncloud.com/security-and-malware-protection-for-smartphones/