شماره: IRCNE2014102351
تاريخ: 29/07/93
روش جديدي كه به مهاجمان اجازه مي دهد تا برنامه هاي اندرويدي رمزگذاري شده مخرب را در داخل تصاوير پنهان كنند مي تواند براي فرار از تشخيص داده شدن توسط محصولات آنتي ويروس و اسكنر بدافزار گوگل پلي، مورد استفاده قرار گيرد.
اين حمله توسط Axelle Apvrille، محققي از Fortinet طراحي شده است و Albertini روز پنج شنبه در كنفرانس كلاه سياه اروپا كه در آمستردام برگزار شده بود اثبات ادعاي خود را نشان داد.
روشي كه توسط Albertini نشان داده شد AngeCryption نام دارد كه مي تواند عمليات رمزگذاري فايل هاي ورودي و خروجي كه از AES استفاده مي كنند را با بهره گيري از ويژگي هاي برخي فرمت هاي فايل ها كه به فايل ها اجازه مي دهد عليرغم داشتن داده هاي بدردنخور معتبر باقي بمانند كنترل كند.
AngeCryption به كاربر اجازه مي دهد تا يك فايل ورودي و يك فايل خروجي را انتخاب نمايد و تغييرات لازم را اعمال نمايد در نتيجه هنگامي كه فايل ورودي با يك كليد خصوصي با استفاده از AES در حالت CBC رمزگذاري مي شود، اين روش فايل خروجي مورد نظر را ايجاد مي كند.
محققان امنيتي ايده خود را فراتر بردند و اين روش را بر روي فايل هاي APK (بسته هاي برنامه هاي كاربردي اندرويد) اعمال كردند. آن ها براي نشان دادن ادعاي خود برنامه كاربردي ايجاد كردند كه به راحتي مي تواند يك تصوير PNG از بازيگر جنگ ستارگان با نام Anakin Skywalker را نشان دهد. با اين حال، اين برنامه مي تواند به منظور ساختن فايل دوم APK كه قابل نصب است، تصوير را با كليد خصوصي رمزگشايي كند.
در نمايش محققان، APK مخفي شده در تصوير براي نمايش تصويري از Darth Vader طراحي شده است اما مهاجم واقعي مي تواند به جاي آن از يك برنامه مخرب براي سرقت پيام هاي متني، عكس ها، تماس ها يا ساير داده ها استفاده نمايد.
Apvrille گفت: اين حملات بر روي اندرويد 4.4.2، آخرين نسخه از سيستم عامل كار مي كند. اين مساله به گروه امنيتي اندرويد اطلاع داده شده است و آن ها در حال بررسي براي انتشار يك برطرف كننده مي باشند.
او افزود: اين آسيب پذيري ممكن است براي يك يا دو سال بر روي بسياري از گوشي ها باقي بماند.
- 2