Google keurt een app goed die al uw gegevens steelt





Google's geautomatiseerde Bouncer voor apps, die moet voorkomen dat schadelijke mobiele software in de app store van het bedrijf verschijnt, lijkt ernstige blinde vlekken te hebben. Het systeem scande herhaaldelijk maar liet een app passeren die heimelijk persoonlijke gegevens zoals foto's en contacten steelt, meldden twee onderzoekers van computerbeveiligingsbedrijf Trustwave aan de Zwarte hoed veiligheidsconferentie gisteren in Las Vegas.

Nicolas Percoco en Sean Schulte zijn lid van Trustwave's onderzoeksgroep voor ethische hacking, bekend als SpiderLabs , en ze hebben de app gemaakt om te onderzoeken of Google de software kan controleren die is geüpload naar de app store. Het paar zei dat de resultaten aantonen dat Google zowel zijn app-scansysteem als zijn Android-besturingssysteem moet verbeteren.

Naarmate meer mensen desktop- en laptopcomputers inruilen voor smartphones en tablets, wordt mobiele beveiliging steeds belangrijker. Veel gebruikers gedragen zich ook alsof alles wat ze downloaden uit een app store veilig is.



De stunt is gênant voor Google, wat kondigde het bestaan ​​van de Bouncer aan beveiligingssysteem dat in februari van dit jaar apps scant in de app store van het bedrijf en destijds aangeeft dat het sinds eind 2011 met succes werd gebruikt (zie Attacks on Android Intensify). In juni van dit jaar hebben twee onderzoekers van een ander beveiligingsbedrijf, Duo Security, viel Bouncer zelf aan , met details over hoe het werkt.

Percoco en Schulte waren meer geïnteresseerd in het laten zien hoe criminelen die geld wilden verdienen met slechte apps het Bouncer-systeem konden omzeilen. Ze uploadden een onschadelijke app naar de app store van Google en verbeterden deze vervolgens achtereenvolgens om smeriger en smeriger te worden om te zien hoe ver ze konden gaan voordat Bouncer in actie kwam.

De originele app, SMS Bloxor genaamd, blokkeerde eenvoudig sms-berichten van bepaalde nummers. Er is voor sms-blokkering gekozen omdat de onderzoekers gebruikers wilden afschrikken om de app te downloaden. Andere apps, waarvan er vele gratis zijn, bieden al dezelfde functionaliteit en SMS Bloxor kostte $ 49,95. We wilden niet dat 5.000 gebruikers onze kwaadaardige app zouden downloaden, zei Percoco. Ik ben de enige die het heeft gekocht.



De eerste versie had een eenvoudige telefoon-home-functie ingebouwd, zodat de onderzoekers zouden weten of Bouncer de app heeft getest. Google heeft geen technische details van Bouncer vrijgegeven, maar heeft gezegd dat het apps test door hun code te scannen en ze in een gesimuleerde telefoon uit te voeren om te zien wat ze doen. Dat houdt in dat je een app internettoegang moet geven, dus toen sms Bloxor een paar minuten na het uploaden naar de Google Play Store naar huis belde, was het duidelijk dat Bouncer het had gescand. De app verscheen toen in de Google Play app store en was klaar voor iedereen om te downloaden.

De onderzoekers dienden vervolgens zeven bijgewerkte versies in, die elk meer kwaadaardige functies toevoegden. De eerste was in staat om in het geheim de contacten van een persoon naar de makers van de app te sturen. De volgende versies kunnen sms-berichten stelen, identificatiegegevens van een telefoon kopiëren, foto's stelen, oproeprecords stelen, het scherm kapen en ten slotte een internetadres aanvallen door het te overspoelen met verzoeken om gegevens, een tactiek die websites kan uitschakelen als er veel geïnfecteerd zijn computers werken samen, ook wel gedistribueerde denial of service (DDoS)-aanval genoemd.

We hadden verwacht dat een van deze stappen, zoals een spoofscherm of DDoS, ons zou pakken. En dat gebeurde niet, zei Schulte. Bouncer heeft de bijgewerkte versies van de app gescand en uitgevoerd, maar laat het altijd passeren. Dat was waarschijnlijk omdat Bouncer de app nooit op zijn slechtst heeft gezien. Hoewel de gescande versies alle code hadden die nodig was om slechte dingen te doen, wachtten de onderzoekers tot ze voorbij Bouncer waren geglipt om de app de laatste instructies te sturen die nodig waren om kwaadaardige activiteiten mogelijk te maken.



SMS Bloxor werd uiteindelijk uit de winkel gehaald nadat de onderzoekers een versie hadden geüpload die continu alle gegevens van een apparaat terugstuurde naar de makers van de app, zonder ooit te stoppen. Een geautomatiseerde e-mail informeerde Percoco dat zijn ontwikkelaarsaccount was opgeschort en dat het experiment was beëindigd. Er werd geen waarschuwing gestuurd naar de persoon die de app had betaald en gedownload: Percoco zelf.

Het paar informeerde Google van het experiment voorafgaand aan hun presentatie gistermiddag en ontmoette onmiddellijk daarna vertegenwoordigers van het bedrijf om hun bevindingen te bespreken.

Percoco suggereerde dat Google het bereik van Bouncer zou kunnen vergroten en het een functie zou kunnen maken van elke Android-handset, waar het het gedrag van een app zou kunnen controleren nadat deze is geïnstalleerd. Percoco zei ook dat Google de functie moet heroverwegen waarmee nieuwe code stil naar apps kan worden verzonden nadat ze zijn geüpload naar Google Play.



Google en andere app-store-aanbieders ontwierpen dergelijke winkels eerst voornamelijk met een bedrijfsmodel in het achterhoofd, in plaats van veiligheid in het achterhoofd, aangezien de concurrentie om de hausse aan mobiele apparaten te benutten, werd geïntensiveerd. Het grote aantal apparaten dat nu in omloop is en de intieme rol die ze spelen in het leven van mensen, hebben veel beveiligingsexperts er echter van overtuigd dat app-winkels binnenkort het onderwerp zullen zijn van aanzienlijke criminele inspanningen. Google meldde vorige maand dat er meer dan 400 miljoen Android-apparaten zijn geactiveerd sinds ze voor het eerst beschikbaar kwamen in 2008 (zie Android Has Arrived), en dat er elke dag een miljoen meer worden geactiveerd.

Percoco zei dat Google en anderen tot nu toe geluk hebben gehad en nog tijd hebben om de komende golf voor te zijn. Voorlopig bestaan ​​de meeste voorbeelden van mobiele malware uit gerichte aanvallen op individuen, zoals CEO's die mogelijk toegang hebben tot waardevolle bedrijfsgegevens. Om de hoek zal een meer wijdverbreide catastrofe zijn die tienduizenden of miljoenen gebruikers kan treffen.

zich verstoppen