The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Для платформы Android продемонстрирован прототип руткита

02.08.2010 21:51

Эксперты из подразделения Spider Labs компании Trustwave продемонстрировали на конференции DefCon работающий на уровне Linux-ядра прототип руткита для телефонов на базе платформы Android. Руткит выполнен в виде модуля ядра, требует для своей установки наличия root-привилегий и разработан в соответствии со стандартными принципами написания Linux-руткитов. Интерес представляет способ активации руткита на телефоне: после получения звонка с заранее определенного телефонного номера, руткит инициирует со своей стороны TCP соединение к заданному хосту злоумышленника, используя для организации канал связи GPRS/3G/WIFI и предоставляя полный shell-доступ к устройству. Код руктита в сети пока недоступен, но он был включен в состав DVD-диска, распространенного среди участников конференции.

Использование подобных руткитов представляет такие угрозы как возможность чтения злоумышленниками SMS сообщений, скрытое совершение за счет жертвы дорогих телефонных звонков, трекинг перемещения владельца телефона по GPS или ближайшим базовым станциям. Тем не менее, установка руткита представляет определенные трудности, для загрузки модуля Linux-ядра требуется root-доступ, получение которого на Android телефонах достаточно нетривиальная операция, существенно отличающаяся для разных моделей телефонов, - поставки в комплекте с троянской пользовательской программой для инициализации руткита недостаточно.

В качестве возможного пути распространения руткита называется внедрение с использованием неисправленных критических уязвимостей вкупе с методами социальной инженерии, направленными на широкое распространение троянской программы через каталог Android Market. В качестве наиболее эффективного метода защиты от подобного вида руткитов разработчики прототипа советуют производителям организовать загрузку модулей ядра с проверкой их валидности по цифровой подписи.

Представленный на конференции DefCon код не является первым руткитом для телефонов на базе Linux, ранее похожий rootkit был продемонстрирован для другого основанного на Linux телефона Neo FreeRunner. Руткит был способен не только предоставлять доступ в shell, но и выполнять функции прослушивающего устройства, скрыто от владельца аппарата включающего микрофон и инициирующего звонок по заданному телефонному номеру (прослушивание производится в рамках скрытого сеанса связи).

Тем временем популярность платформы Android продолжает расти невиданными темпами, по данным занимающейся исследованием рынка фирмы Canalys во втором квартале 2010 года число проданных телефонов на базе платформы Android выросло на 886%, по сравнению со вторым кварталом прошлого года. На территории США Android завоевал 34% рынка смартфонов. Отмечается также рост числа приложений для данной платформы: число программ, представленных в каталоге Android Market превысило отметку в 70 тысяч приложений (в марте было 30 тыс., а в декабре прошлого года - 16 тыс.). Объемы продаж телефонов на базе Android демонстрируют небывалые темпы роста, в мае ежедневно активировалось около 100 тыс. телефонов, а уже в июне число активаций возросло до 160 тыс. аппаратов в день.

  1. Главная ссылка к новости (http://www.reuters.com/article...)
  2. OpenNews: Для платформы Android представлен прототип руткита
  3. OpenNews: Руткит, превращающий телефон в прослушивающее устройство
  4. OpenNews: Возможность принудительной удаленной установки программ в Android вызывает опасения
  5. OpenNews: Анализ угроз при использовании каталога Android Market
  6. OpenNews: Motorola реализовала аппаратную защиту от модификации прошивки телефонов
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/27504-android
Ключевые слова: android, rootkit, phone, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (18) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Ivan1986 (?), 00:03, 03/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Черт, еще один вариант "взлома Linux сервера с помощью пароля на root"
     
     
  • 2.14, Аноним (-), 08:32, 03/08/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Черт, еще один вариант "взлома Linux сервера с помощью пароля на root"

    Вам нужно срочно пройти ликбез на тему, чем руткит отличается от эксплоита и понять, что руткит к непосредственно взлому не имеет отношения. Это инструмент для использования последствий взлома.


     
     
  • 3.16, тоже Аноним (ok), 09:53, 03/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Более того, статья не о том, что в Андроидах обнаружена уязвимость, а об исследовании сферы деятельности гипотетических вредоносных программ на этой платформе. Вывод, имхо, таков, что платформа Андроид представляет немалый интерес для вирусописателей, а значит, любые обнаруженные уязвимости будут с высокой вероятностью эксплуатироваться. Но это не значит, что они уже есть.
     

  • 1.4, Аноним (-), 00:21, 03/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >требует для своей установки наличия root-привилегий

    Дальше можно не читать, в андройд-девайсах рут без индивидуальных для каждого устройства хаков недоступен.

     
  • 1.5, Marbleless (?), 00:50, 03/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    >требует для своей установки наличия root-привилегий

    К сожалению, мы в Афганистане еще не слишком продвинулись в создании вирусов, поэтому, пожалуйста, разошлите наш вирус самостоятельно всем друзьям и знакомым, а затем удалите все файлы из папки C:\Windows...

     
  • 1.6, FPGA (ok), 00:53, 03/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Вот вы смеетесь на счет рута, но не понимаете что такой доступ может быть вполне получен благодаря неисправленной уязвимости, что на телефонах очень даже актуально.
     
     
  • 2.7, Marbleless (?), 00:56, 03/08/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вот когда будет получен, тогда и будет руткит.
     
     
  • 3.17, ig0r (??), 11:12, 03/08/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    тогда это будет называться эксплоитом
     
  • 3.19, ig0r (??), 17:40, 03/08/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    почитайте что такое руткит http://ru.wikipedia.org/wiki/%D0%A0%D1%83%D1%82
     
     
  • 4.22, filosofem (ok), 14:37, 04/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А я то думал откуда столько "умных" школьников. =)

    Не стоит до такой степени доверять педивикии, особенно русской ее части. То определение с какого-то вантузного антивирусника скопипастили и оно не соответствует действительности. Вантузники такие вантузники.
    Руткит - это набор для получения рута без ведома администратора. Это если кратко своими словами, а если хотите подробнее ищите в гугле, или хотя бы в ангийской педивикии.
    Кстати с "эксплойтом" это понятие тоже как-то местами пересекается, так что зря вы тут бучу поднимаете.

     
  • 4.24, XoRe (ok), 23:06, 04/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >почитайте что такое руткит http://ru.wikipedia.org/wiki/%D0%A0%D1%83%D1%82

    http://en.wikipedia.org/wiki/Rootkit

    A rootkit is a software or hardware device designed to gain administrator-level control over a computer system without being detected. Although rootkits can serve a variety of ends, they have gained notoriety as malware, appropriating computing resources without the knowledge of the administrators or users of affected systems. Rootkits can target the BIOS, hypervisor, boot loader, kernel or less commonly, libraries or applications.

    The term rootkit is a concatenation of the administrative account in (primarily) Unix operating systems (root user account) and the word "kit", which refers to the software components that implement the tool.

    Т.е. именно to gain - получить рутовый уровень доступа.

     
  • 3.20, FPGA (ok), 23:51, 03/08/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Вот когда будет получен, тогда и будет руткит.

    Пора бы уже знать что такое руткит. Вкратце, руткит устанавливается уже после того как система была взломана через уязвимость или иным способом.

     

  • 1.10, Alen (??), 06:45, 03/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Вот, стандартный вирус для линукса - для распространения требуестя:
    1)согласия на установку 3 сторон (распространителя, получателя и гугла (неисправившего гипотетическую уязвимость))
    2)Не средние (на данный момент) познания в Линукс подобных осях для владельца телефона.
    3)Чтобы с железом повезло

    Ой что то мне подсказывает, что светлое будущее вирусописательства под линукс в таких условиях еще не близко.

     
     
  • 2.12, Feadot (ok), 08:25, 03/08/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    4) В случае неработоспособности вируса, доработать самостоятельно под конкретную систему. Подробные спецификации и код вируса прилагаются. В некоторых случаях будет необходим доступ к аккаунту root'а.
     
  • 2.13, Михаил (??), 08:31, 03/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >кто интересно спонсирует такие пугалки? Если я знаю пароль рута, то какой
    >ещё мне нужен руткит?

    Для того чтобы присутствовать в системе всегда. Собирать данные и автоматически отправлять куда надо.

    На большом количестве устройств вручную с помощью пароля собирать данные геморойно. Вот и автоматизируют.

     
     
  • 3.18, Sergey722 (?), 16:37, 03/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Читать СМСки, по ЖиПиЭсу пасти... Интересно... Ну там любимой жене поставить... ;)
     

  • 1.21, Аноним (-), 00:02, 04/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    многим тролящим стоит перечитать что означает понятие 'руткит'
    о взломе аднроида через рута никто не говорил
     
  • 1.23, Аноним (23), 15:13, 04/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >широкое распространение троянской программы через каталог Android Market

    нужно срочно запатентовать идею такого же аналога и для винды... и название в принципе уже есть - Virus Market...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру