Google godkänner en app som stjäl all din data





Googles automatiserade Bouncer för appar, som ska förhindra att skadlig mobilprogramvara dyker upp i företagets appbutik, verkar ha allvarliga blinda fläckar. Systemet skannade upprepade gånger men släppte igenom en app som smygande stjäl personlig information som foton och kontakter, rapporterade två forskare från datasäkerhetsföretaget Trustwave vid Svart hatt säkerhetskonferens i Las Vegas igår.

Nicolas Percoco och Sean Schulte är medlemmar i Trustwaves forskningsgrupp för etisk hackning, känd som SpiderLabs , och de skapade appen för att undersöka Googles förmåga att kontrollera programvaran som laddats upp till dess appbutik. Paret sa att resultaten visar att Google behöver förbättra både sitt app-skanningssystem och sitt Android-operativsystem.

I takt med att fler människor byter stationära och bärbara datorer mot smartphones och surfplattor, blir mobil säkerhet allt viktigare. Många användare beter sig också som om allt de laddar ner från en appbutik är säkert.



Stuntet är pinsamt för Google, vilket tillkännagav existensen av Bouncer säkerhetssystem som skannar appar i företagets appbutik i februari i år, och sa då att det hade använts sedan slutet av 2011 med framgång (se Attacker på Android Intensify ). I juni i år, två forskare från ett annat säkerhetsföretag, Duo Security, attackerade Bouncer själv , ger information om hur det fungerar.

Percoco och Schulte var mer intresserade av att visa hur kriminella som hoppas kunna tjäna pengar på dåliga appar kunde kringgå Bouncer-systemet. De laddade upp en ofarlig app till Googles appbutik och uppgraderade den sedan successivt till att bli otäckare och otäckare för att se hur långt de kunde gå innan Bouncer satte igång.

Den ursprungliga appen, som heter SMS Bloxor, blockerade helt enkelt textmeddelanden från vissa nummer. SMS-blockering valdes för att forskarna ville avskräcka användare från att ladda ner appen. Andra appar - av vilka många är gratis - erbjuder redan samma funktionalitet, och SMS Bloxor kostade 49,95 USD. Vi ville inte ha 5 000 användare som laddade ner vår skadliga app, sa Percoco. Jag är den enda som köpte den.



Den första versionen hade en enkel telefonhemfunktion inbyggd så att forskarna skulle veta om Bouncer testade appen. Google har inte släppt tekniska detaljer om Bouncer, men har sagt att de testar appar genom att skanna deras kod och köra dem i en simulerad telefon för att se vad de gör. Det innebär att ge en app tillgång till internet, så när SMS Bloxor ringde hem några minuter efter att ha laddats upp till Google Play-butiken, var det tydligt att Bouncer hade skannat det. Appen dök sedan upp i Google Plays appbutik och var redo för alla att ladda ner.

Forskarna skickade sedan in sju uppdaterade versioner, som var och en lade till fler skadliga funktioner. Den första kunde i hemlighet skicka en persons kontakter till appens skapare. Följande versioner kan stjäla textmeddelanden, kopiera en telefons identifieringsinformation, stjäla foton, stjäla samtalsposter, kapa skärmen och slutligen attackera en internetadress genom att översvämma den med förfrågningar om data, en taktik som kan ta ner webbplatser om många infekteras datorer fungerar tillsammans, så kallade DDoS-attacker (distributed denial of service).

Vi förväntade oss att ett av dessa steg, som spoof-skärm eller DDoS, skulle få oss att fånga oss. Och det gjorde det inte, sa Schulte. Bouncer skannade och körde de uppdaterade versionerna av appen, men lät det alltid passera. Det berodde troligen på att Bouncer aldrig såg appen när den var som värst. Även om de skannade versionerna hade all kod som behövdes för att göra dåliga saker, väntade forskarna tills efter att de hade glidit förbi Bouncer för att skicka appen de sista instruktionerna den behövde för att aktivera skadlig aktivitet.



SMS Bloxor drogs till slut från butiken efter att forskarna laddat upp en version som kontinuerligt skickade all data från en enhet tillbaka till appens skapare, utan att någonsin sluta. Ett automatiskt e-postmeddelande informerade Percoco om att hans utvecklarkonto hade stängts av och experimentet avslutades. Ingen varning skickades till den som hade betalat och laddat ner appen – Percoco själv.

Paret informerade Google om experimentet innan deras presentation igår eftermiddag och träffade representanter för företaget direkt efteråt för att diskutera sina resultat.

Percoco föreslog att Google kunde utöka räckvidden för Bouncer och göra den till en funktion i varje Android-telefon, där den kunde kontrollera beteendet hos en app efter att den har installerats. Percoco sa också att Google borde ompröva funktionen som gör att ny kod kan skickas tyst till appar efter att de har laddats upp till Google Play.



Google och andra leverantörer av appbutiker designade först sådana butiker främst med en affärsmodell, snarare än säkerhet, i åtanke, eftersom konkurrensen om att utnyttja boomen inom mobila enheter intensifierades. Men det stora antalet enheter som nu är i omlopp och den intima roll de har i människors liv har övertygat många säkerhetsexperter om att appbutiker snart kommer att utsättas för betydande kriminella ansträngningar. Google rapporterade förra månaden att mer än 400 miljoner Android-enheter har aktiverats sedan de först blev tillgängliga 2008 (se Android har anlänt ), och att ytterligare en miljon aktiveras varje dag.

Percoco sa att Google och andra har haft tur hittills och fortfarande har tid att ta sig före den kommande vågen. För närvarande består de flesta exemplen på mobil skadlig kod av riktade attacker mot individer, till exempel VD:ar som kan ha tillgång till värdefull företagsdata. Runt hörnet kommer en mer utbredd katastrof som kan drabba tiotusentals eller miljontals användare.

Dölj