Eludir Google’s Bouncer, el sistema antimalware d’Android

Com a resposta a l'objectiu cada vegada més gran que presentava el seu sistema operatiu Android als pirates informàtics, Google va llançar el sistema anti-malware 'Bouncer' el febrer de 2012. Bouncer va ser dissenyat per filtrar les aplicacions malicioses abans que apareguessin a l'Android Market, com es deia aleshores. El nom es va canviar per Google Play, però Bouncer seguia xerrant, protegint-nos silenciosament dels cucs i dels cavalls de Troia.

Google va conèixer els detalls quan va revelar Bouncer, però ara dos investigadors de seguretat de Duo Security, Charlie Miller i Jon Oberheide, han trobat la manera d’accedir a Bouncer de forma remota i explorar-lo des de l’interior. El que van trobar mostra que els autors intel·ligents de programari maliciós encara podrien escombrar el vostre telèfon.



Què fa Bouncer

Al llarg del 2011, Google va estar plagat d’instàncies de Programari maliciós per a Android aprofitant els exploits del codi del SO. El que era pitjor, de vegades aquestes aplicacions malicioses acabaven entrant a l'Android Market. Hi havia aplicacions que robaven contactes, feien un seguiment de les vostres pulsacions de tecles i fins i tot aquelles que acumulaven enormes factures enviant missatges de text a números de tarifa superior. Aquest codi desagradable normalment flotava als fòrums de Warez, però no va ser inèdit el seu aspecte a Play Store.



Google PlayGoogle sempre ha permès als desenvolupadors penjar les seves aplicacions per fer-les disponibles immediatament. Però a mesura que Android va atreure més l'atenció de persones equivocades, era evident que calia fer alguna cosa.

El resultat va ser Bouncer, però Google va optar per parlar-ne només amb els termes més generals al principi. Bouncer va ser dissenyat per afegir una nova capa de seguretat a Android sense que els desenvolupadors passessin per un tediós procés d’aprovació dirigit per humans delicats. Google necessita l’eficiència freda d’una màquina automatitzada.



L'anunci de febrer afirmava que Bouncer havia estat funcionant tranquil·lament en segon pla durant diversos mesos, cosa que va provocar una caiguda del 40% de les aplicacions potencialment malicioses al mercat. Quan es completin les exploracions, les aplicacions que passen es publicaran de la manera normal. Els desenvolupadors només havien de patir uns minuts de retard. Semblava gairebé una bala màgica en aquell moment.

Com ara estem aprenent, el programari maliciós que Bouncer ha aniquilat podria haver estat la fruita amb poca intensitat.

Com funciona Bouncer des de dins

Miller i Oberheide han estat sondejant Market / Play Store des de fa temps en un esforç per obtenir més informació sobre Bouncer. Els investigadors finalment ho van aconseguir fes una ullada a l'assassí de correu brossa amb una aplicació d'Android especialment codificada dissenyada per permetre l'accés remot a Duo Security. Bouncer és un telèfon virtual que s’emula en un servidor de Google. Quan Bouncer va carregar l'aplicació troiana, Miller i Oberheide van poder alimentar les ordres de l'intèrpret d'ordres de Bouncer mitjançant una línia d'ordres. Així es van revelar els secrets de Bouncer.



El sistema executa un tipus de programari de virtualització anomenat QEMU, que és un indicador fàcilment detectable que pot dir a una aplicació que s’executa a Bouncer. El compte utilitzat per registrar el telèfon virtual també és idèntic, proporcionant una segona forma senzilla d’empremtes digitals Bouncer. Google ha configurat cada instància del seu telèfon virtual amb potes de mel per atraure el programari maliciós perquè faci el que millor faci: robar coses.

Gat BouncerHi ha dues imatges al telèfon Bouncer; un de Lady Gaga i un de gat. Si es detecta una aplicació que penja aquestes imatges a un servidor remot, Bouncer li dóna un cop ràpid per la porta. De la mateixa manera, si una aplicació intenta recollir la informació de contacte del telèfon, que inclou una única entrada per a un Michelle.k.levin@gmail.com, també s'inicia l'aplicació. Bouncer també controla el servei de SMS en cas que una aplicació intenti enviar missatges de text no autoritzats a números de tarifa superior.

No es pot negar que aquesta és una manera enginyosa d’esbrinar si hi ha amenaces desagradables, però, com indica Duo Security, els atacants podrien vèncer fàcilment a Bouncer en el seu propi joc.

Com es pot trencar Bouncer

Duo Security va aprendre una lliçó important de la seva petita incursió a Bouncer: només funciona quan ningú coneix el seu funcionament intern. Com he esbossat, Miller i Oberheide van descobrir diverses maneres d’empremtar l’entorn Bouncer. Això vol dir que un autor de programari maliciós podria crear un mòdul que suspengui el comportament maliciós durant un temps determinat quan es detecta Bouncer.

Sense ni tan sols arribar tan lluny, els autors de programari maliciós podrien eludir la detecció jugant-lo bé. Bouncer no executa aplicacions indefinidament; de fet, només escanejarà cada aplicació que es carregui durant uns 5 minuts abans de declarar-la segura. Els dolents només han de mantenir les seves intencions ocultes durant un curt temps per eludir l’escàner tal com existeix ara.

ShellCom a alternativa, les persones ombres que volen explotar el vostre telèfon només poden carregar una aplicació inofensiva que passi Bouncer amb força. A continuació, amb el temps es poden afegir components mitjançant les actualitzacions de Play Store que permeten funcions malicioses latents. Viouslybviament, aquest és el desavantatge, però per a la recompensa adequada pot valer la pena.

Duo Security afirma que ha estat en contacte amb Google per tal de corregir les vulnerabilitats. Algunes coses poden ser fàcils de solucionar, com ara escanejar aplicacions durant un període de temps més llarg o canviar la informació del compte per defecte. Però d’altres, com l’entorn virtualitzat fàcilment detectable, seran més difícils d’endurir contra atacs. La millor solució seria executar aplicacions en dispositius reals, però la logística pot fer-ho impossible.

Miller i Oberheide oferiran una demostració completa del hack a SummerCon a finals d’aquesta setmana. Fins aleshores, és probable que Google estigui treballant dur per tapar els forats de Bouncer per evitar una nova onada de programari maliciós.

Copyright © Tots Els Drets Reservats | 2007es.com