The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Для платформы Android представлен прототип руткита

03.06.2010 21:32

На конференции Defcon, которая будет проходить в следующем месяце в Лас Вегасе, два исследователя из компании Trustwave намерены продемонстрировать концептуальный прототип руткита для телефона на базе платформы Android. Руткит оформлен в виде модуля Linux-ядра и способен предоставлять через определенный сетевой порт shell-доступ при получении управляющего звонка с определенного номера телефона. Отмечается высокий потенциал подобных руткитов, используя которые злоумышленники могут осуществлять контроль за SMS и прослушивать звонки, передавать данные о местонахождении и перемещении пользователя, производить скрытые звонки за счет владельца телефона.

Как именно разработчики осуществили получение прав суперпользователя для установки руткита не сообщается, возможно была использована неизвестная уязвимость или работа руткита была опробована на телефоне с прошивкой для разработчиков. Можно отметить, что в начале года похожий руткит был продемонстрирован для телефона Neo FreeRunner.

  1. Главная ссылка к новости (http://www.maximumpc.com/artic...)
  2. OpenNews: Новый способ внедрения rootkit в Linux ядро
  3. OpenNews: Модуль ядра Linux для распознавания rootkit'ов
  4. OpenNews: Для Linux выпущен руткит принципиально нового типа
  5. OpenNews: HookSafe - гипервизор для защиты от руткитов
  6. OpenNews: Руткит, превращающий телефон в прослушивающее устройство
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/26831-android
Ключевые слова: android, rootkit, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (10) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, User294 (ok), 21:41, 03/06/2010 [ответить]  
    		• +4 +/
    В то время пока они демонстрируют неизвестно кому нужные концепты, кроссплаторменная малварь, в том числе на J2ME уже со всей дури валит спам в аську.
     
  • 1.2, Аноним (-), 22:08, 03/06/2010 [ответить]  
    		• +1 +/
    Честно говоря руткит не говорит о дырявости линукса/телефона. Это обычный ядерный модуль, который способен сделать всё что угодно. Самое главное, чтобы у людей делающих ядро не возникло крамольной мысли об обеспечении защиты внутри самого ядра. Это бесусловно будет ошибкой.
     
  • 1.3, pavlinux (ok), 02:30, 04/06/2010 [ответить]  
    		• +2 +/
    Какой в еще руткит в виде модуля ядра!!!
    # sysctl -w kernel.modules_disabled=1;

    ---------

    Я знаю универсальные руткиты для мобильников -
    http://rutube.ru/tracks/164839.html?cm=5
    http://www.youtube.com/watch?v=GlZ4olscj2Q


     
     
  • 2.4, Гентушник (ok), 07:29, 04/06/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    Учитывая что у злоумышленика будут рутовые права (а как же, модуль же в ядро грузит), то ему ничего не будет мешать сделать sysctl -w kernel.modules_disabled=0 :)
     
     
  • 3.5, mma (?), 07:59, 04/06/2010 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    а зачем на телефоне модули ядра - там железо не меняется можно и монолитную сборку.
     
     
  • 4.8, pavlinux (ok), 14:57, 04/06/2010 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >а зачем на телефоне модули ядра - там железо не меняется можно
    >и монолитную сборку.

    Ну фор экзампл, выгружать USB, блютуз, gps модули, всё равно Андройд 90% времни это дорогой телефон.

    Хотя вон, по телику реклама LG на андройде за 8990 руб.

     
  • 3.6, Andrew Kolchoogin (?), 09:39, 04/06/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    > Учитывая что у злоумышленика будут рутовые права (а как же, модуль же в ядро грузит),
    > то ему ничего не будет мешать сделать sysctl -w kernel.modules_disabled=0 :)

    Я думаю, эта переменная устанавливается только один раз в жизни ядра. :) И меняется только перезагрузкой, примерно как Secure Level у *BSD. :)))

     
  • 3.7, pavlinux (ok), 14:54, 04/06/2010 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >Учитывая что у злоумышленика будут рутовые права (а как же, модуль же
    >в ядро грузит), то ему ничего не будет мешать сделать sysctl
    >-w kernel.modules_disabled=0 :)

    Ну попробуй, сделай :)

    # sysctl -w kernel.modules_disabled=0
    error: "Invalid argument" setting key "kernel.modules_disabled"

    # modprobe  tun
    FATAL: Error inserting tun (/lib/modules/2.6.34/kernel/drivers/net/tun.ko): Operation not permitted


     
     
  • 4.9, Гентушник (ok), 17:35, 17/06/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    >Ну попробуй, сделай :)

    Уупс, не знал.
    Ну наверное можно в памяти ведро пропатчить на худой конец через какой-нибудь /dev/kmem

     
     
  • 5.10, pavlinux (ok), 22:37, 17/06/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    >>Ну попробуй, сделай :)
    >
    >Уупс, не знал.
    >Ну наверное можно в памяти ведро пропатчить на худой конец через какой-нибудь
    >/dev/kmem

    # CONFIG_DEVKMEM is not set
    CONFIG_HAVE_ARCH_KMEMCHECK=y
    CONFIG_STRICT_DEVMEM=y

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру