Gadgetshowto
Eftersom Linux är ett öppen källkodsprojekt är det svårt att hitta säkerhetsfel i källkoden eftersom tusentals användare aktivt fortsätter att kontrollera och fixa detsamma. På grund av detta proaktiva tillvägagångssätt, även om en brist upptäcks, lappas den omedelbart. Det var därför det var så förvånande när ett utnyttjande upptäcktes förra året som har undgått alla användares stränga aktsamhet under de senaste nio åren. Ja, du läste det rätt, även om exploateringen upptäcktes i oktober 2016 hade den funnits inuti Linux-kärnkoden sedan senaste 9 åren. Den här typen av sårbarhet, som är en typ av rättighetsupptrappningsfel, är känd som Dirty Cow-sårbarheten (Linux-kärnfels katalognummer - CVE-2016-5195).
Även om denna sårbarhet korrigerades för Linux en vecka efter upptäckten, lämnade den alla Android-enheter sårbara för denna exploatering (Android är baserad på Linux-kärnan). Android lappades följde i december 2016, men på grund av den fragmenterade naturen i Android-ekosystemet finns det fortfarande många Android-enheter som inte har fått uppdateringen och förblir sårbara för den. Vad som är mer skrämmande är att en ny Android-malware kallad ZNIU upptäcktes för några dagar tillbaka som utnyttjar sårbarheten i Dirty Cow. I den här artikeln tar vi en djupgående titt på Dirty Cow-sårbarheten och hur den missbrukas på Android av skadlig programvara från ZNIU.
Vad är sårbarhet hos smutsiga koar?
Som nämnts ovan är Dirty Cow sårbarhet en typ av privilegier eskalering utnyttja som kan användas för att bevilja superanvändarbehörighet till någon. I grund och botten, genom att använda denna sårbarhet, kan alla användare med skadlig avsikt bevilja sig en superanvändarbehörighet och därigenom ha fullständig root-åtkomst till offrets enhet. Att få root-åtkomst till ett offrets enhet ger angriparen full kontroll över enheten och han kan extrahera all data som är lagrad på enheten, utan att användaren blir klokare.
Vad är ZNIU och vad smutsig ko har att göra med det?
ZNIU är den första registrerade skadliga programvaran för Android som använder Dirty Cow-sårbarheten för att attackera Android-enheter. Skadlig programvara använder Dirty Cow-sårbarheten för att få root-åtkomst till offrets enheter. För närvarande har skadlig kod upptäckt att den gömmer sig i mer än 1200 spel- och pornografiska appar för vuxna. Vid tidpunkten för publiceringen av denna artikel har mer än 5000 användare i 50 länder visat sig påverkas av den.
Vilka Android-enheter är sårbara för ZNIU?
Efter upptäckten av Dirty Cow-sårbarheten (oktober 2016) släppte Google en patch i december 2016 för att åtgärda problemet. Men den patch släpptes för Android-enheter som kördes på Android KitKat (4.4) eller ovanför. Enligt uppdelningen av Android OS-distributionen av Google, kör mer än 8% av Android-smartphones fortfarande på lägre versioner av Android. Av de som körs på Android 4.4 till Android 6.0 (Marshmallow) är bara de enheterna säkra som har tagit emot och installerat säkerhetsuppdateringen i december för sina enheter.
Det är många Android-enheter som har potential att utnyttjas. Människor kan dock trösta sig i det faktum att ZNIU använder en något modifierad version av Dirty Cow-sårbarheten och därför har det visat sig vara framgångsrikt endast mot de Android-enheter som använder ARM / X86 64-bitars arkitektur. Om du är Android-ägare skulle det ändå vara bättre att kontrollera om du har installerat säkerhetsuppdateringen i december eller inte.
ZNIU: Hur fungerar det?
När användaren har laddat ner en skadlig app som har infekterats med ZNIU-skadlig programvara, när de startar appen, kommer ZNIU-skadlig kod kommer automatiskt att kontakta och ansluta till dess kommando och kontroll (C&C) servrar för att få uppdateringar om tillgängliga. När den väl har uppdaterat sig kommer den att utnyttja behörighetsökningen (Dirty Cow) för att få root-åtkomst till offrets enhet. När den har root-åtkomst till enheten kommer den att göra det skörda användarens information från enheten.
För närvarande använder skadlig programvara användarinformationen för att kontakta offrets nätoperatör genom att utgöra sig som användaren själv. En gång autentiserad kommer den att genomföras SMS-baserade mikrotransaktioner och samla in betalning via operatörens betaltjänst. Skadlig kod är tillräckligt intelligent för att ta bort alla meddelanden från enheten efter att transaktionerna har ägt rum. Således har offret ingen aning om transaktionerna. Generellt genomförs transaktionerna för mycket små belopp ($ 3 / månad). Detta är en annan försiktighetsåtgärd som angriparen vidtar för att säkerställa att offret inte upptäcker överföringarna.
Efter att ha spårat transaktionerna konstaterades det att pengar överfördes till ett dummyföretag baserat i Kina. Eftersom operatörsbaserade transaktioner inte har tillstånd att överföra pengar internationellt, är det bara de användare som berörs i Kina som lider av dessa olagliga transaktioner. Användarna utanför Kina har dock fortfarande skadlig programvara installerad på sin enhet som kan aktiveras när som helst på distans, vilket gör dem till potentiella mål. Även om de internationella offren inte lider av olagliga transaktioner, ger bakdörren angriparen en chans att injicera mer skadlig kod i enheten.
Hur du sparar dig från ZNIU-skadlig programvara
Vi har skrivit en hel artikel om att skydda din Android-enhet från skadlig kod, som du kan läsa genom att klicka här. Det grundläggande är att använda sunt förnuft och inte installera appar från opålitliga källor. Även när det gäller ZNIU-skadlig programvara har vi sett att skadlig kod levereras till offrets mobil när de installerar appar för pornografiska spel eller vuxna, som tillverkas av opålitliga utvecklare. För att skydda dig mot denna specifika skadliga program, se till att din enhet finns på den aktuella säkerhetsuppdateringen från Google. Utnyttjandet lappades med säkerhetsplåstret från december (2016) från Google, varför alla som har den korrigeringsfilen installerad är säkra från ZNIU-skadlig programvara. Beroende på din OEM kanske du fortfarande inte har fått uppdateringen, därför är det alltid bättre att vara medveten om alla risker och vidta nödvändiga försiktighetsåtgärder från din sida. Återigen, allt som du bör och inte bör göra för att spara din enhet från att smittas av en skadlig kod nämns i artikeln som är länkad ovan.
SE OCH: Granskning av Malwarebytes för Mac: Ska du använda den?
Skydda din Android från att smittas av skadlig programvara
De senaste åren har ökat skadlig programvaruattacker på Android. Dirty Cow sårbarhet var en av de största exploateringarna som någonsin har upptäckts och att se hur ZNIU utnyttjar denna sårbarhet är bara hemskt. ZNIU är särskilt oroande på grund av omfattningen av enheter som den påverkar och den obegränsade kontrollen som den ger angriparen. Men om du är medveten om problemen och vidtar nödvändiga försiktighetsåtgärder är din enhet säker från dessa potentiellt farliga attacker. Så se först till att du uppdaterar de senaste säkerhetsuppdateringarna från Google så snart du får dem och håll dig borta från otillförlitliga och misstänkta appar, filer och länkar. Vad tror du att man ska göra för att skydda sin enhet mot attacker mot skadlig programvara. Låt oss veta dina tankar om ämnet genom att släppa ner dem i kommentarfältet nedan.
