Sigurnosna tvrtka Check Point otkrila je novu kampanju zlonamjernog softvera koja uključuje korištenje zlonamjernih aplikacija za korijenje Android uređaja, kradu Googleove tokene za provjeru autentičnosti i nelegitimno popunjavaju instalacijske brojeve i pregledavaju rezultate za druge aplikacije.
Zlonamjerni softver, koji je Checkpoint nazvao "Gooligan", koristi poznate ranjivosti kako bi dobio korijenski pristup - potpunu kontrolu - nad uređajima koji rade pod Androidom 4.x i 5.x, prije nego što ih iskoristi za krađu imena Google računa i tokena za provjeru autentičnosti. To je tada omogućilo počiniteljima daljinsko instaliranje drugih aplikacija s Google Playa na uređajima žrtava i objavljivanje lažnih recenzija u njihovo ime.
Teoretski, zlonamjerni softver poput ovog koji je osmišljen za krađu detalja o autentifikaciji možda je mogao pristupiti drugim područjima Google računa, poput Gmaila ili Fotografije. Nema dokaza da je "Gooligan" učinio nešto takvo - umjesto toga, čini se da je izgrađen kako bi zarađivao svoje tvorce putem nelegitimnih instalacija aplikacija.
Ono što je upečatljivo kod ovog problema sa zlonamjernim softverom je broj pogođenih računa - više od milijun otkad je kampanja započela, prenosi Check Point. Prema podacima tvrtke, većina tih računa - 57 posto - ugrožena je u Aziji. Slijede Amerika s 19 posto, Afrika s 15 posto i Europa s 9 posto. Check Point je postavio web mjesto na kojem možete provjeriti utječe li na vaš račun; Google također kaže da se obraća svima koji su možda pogođeni.
Uoči današnjeg javnog oglašavanja, Google i Check Point zajedno rade na poboljšanju sigurnosti Androida.
Zahvaljujemo istraživanju Check Point-a i njihovom partnerstvu jer smo zajedno radili na razumijevanju ovih problema, "rekao je Adrian Ludwig, Googleov direktor za sigurnost Androida." Kao dio naših stalnih nastojanja da zaštitimo korisnike iz obitelji Ghost Push od malware, poduzeli smo brojne korake da zaštitimo naše korisnike i poboljšamo ukupnu sigurnost Androidovog ekosustava."
Check Point također bilježi da je Googleova tehnologija "Provjeri aplikacije" ažurirana kako bi se bavila aplikacijama koje koriste ovu ranjivost. To je značajno jer, iako ne pomaže uređajima koji su već ugroženi, blokira buduće instalacije na 92 posto aktivnih Android uređaja, čak i bez potrebe za ažuriranjem firmvera.
Kao i drugi prikazi koji se temelje na aplikacijama, Googleova značajka "Provjeri aplikacije" sada štiti 92 posto aktivnih uređaja od "Gooligana".
"Verify Apps" ugrađen je u Google Play Services i omogućen je prema zadanom u Android 4.2 Jelly Bean - čini 92, 4 posto aktivnih uređaja na temelju trenutnih brojeva. (Na starijim verzijama to se može ručno omogućiti.) Kao i ostali Play servisi, redovno se ažurira u pozadini i blokira instalaciju zlonamjernih aplikacija te može savjetovati korisnicima da deinstaliraju već postojeći zlonamjerni softver.
Na novijim verzijama Androida, osnovni podvizi koje "Gooligan" koristi za korijenske uređaje rješavat će se putem sigurnosnih zakrpa. Koliko god zvučalo milijun kompromitiranih računa, ovo je ujedno i primjer Googleove sigurnosne strategije za zlonamjerni softver koji se temelji na aplikacijama i djeluje kako je zamišljen, a blokira instalacije pogođenih aplikacija u većini ekosustava.
Ako ste zabrinuti da je moguće utjecati na vaš račun, možete otvoriti web mjesto Check Point. U budućnosti će Googleove postojeće zaštitne mjere - dio Play usluga posljednje četiri godine - osigurati da budete zaštićeni.
Ažuriranje: Googleov glavni inženjer za sigurnost Androida, Adrian Ludwig, opsežno je napisao pozadinu današnje najave "Googla" i onoga što Google radi u vezi s tim, na usluzi Google+.
