Dijital fotoğraf çerçeveleri, aile anılarını görüntülemek için standart bir ev cihazı haline geldi ve çoğu kullanıcı, bu basit cihazların karmaşıklıktan ziyade basitliğe öncelik verdiğini varsayıyor.
Ancak rahatsız edici bir keşif, Uhale uygulamasını çalıştıran belirli Android fotoğraf çerçevelerinin, açılır açılmaz kötü amaçlı yazılımları otomatik olarak indirip çalıştırdığını ortaya koyuyor.
Quokka güvenlik analistleri, büyük perakende platformlarında satılan popüler dijital resim çerçevesi modellerini inceledikten sonra bu kritik sorunu fark etti veya belirledi.
Genellikle BIGASUO, WONNIE ve MaxAngel gibi markalar altında pazarlanan bu çerçeveler, milyonlarca kullanıcıyı riske atan ortak bir güvenlik açığını paylaşıyor.
Etkilenen cihazlar, kullanıcı etkileşimi olmadan otomatik kötü amaçlı yazılım yüklemesine karşı savunmasızdır.
Quokka’daki güvenlik analistleri, güvenlik endişesinin basit veri hırsızlığının çok ötesine uzandığını tespit etti. Bu güvenlik açıkları, saldırganların minimum çabayla cihazın tam kontrolünü ele geçirmesi için eksiksiz yollar oluşturur.
Analiz sırasında keşfedilen kötü amaçlı yazılım, halihazırda dünya çapında tahmini 1,6 milyon Android TV cihazına bulaşmış olan Vo1d botnet ve Mzmess kötü amaçlı yazılım ailesiyle ilişkilidir.
.webp)
Bir ev veya ofis ağına bağlandığında, güvenliği ihlal edilmiş bir çerçeve, diğer cihazlara yapılacak yan saldırılar için bir giriş noktası görevi görebilir ve potansiyel olarak yaygın ağ güvenliğinin ihlal edilmesine ve verilerin açığa çıkmasına yol açabilir.
Sorunun temelinde Uhale uygulamasının yazılım düzeyinde güvenliği nasıl ele aldığı yatıyor. Geliştiriciler, modern güvenlik standartlarını uygulamak yerine, devre dışı bırakılmış güvenlik özelliklerine ve doğrudan uygulama koduna gömülü sabit kodlu şifreleme anahtarlarına sahip eski Android 6.0’a güvendiler.
Bu kombinasyon, yetenekli saldırganların basit ağ müdahale teknikleri yoluyla yararlanabileceği birden fazla güvenlik açığı yolu oluşturur.
Bunun sonuçları ciddi çünkü bu çerçeveler genellikle sürekli olarak ağlara bağlı kalıyor ve saldırganlara kalıcı erişim fırsatları sağlıyor.
Güvenli Olmayan Güven Yönetimi Sayesinde Uzaktan Kod Yürütme
Birincil istismar vektörü, Uhale uygulamasının ağ iletişimi sırasında güvenlik sertifikalarını doğrulama biçimindeki bir zayıflığı içerir.
.webp)
Bir çerçeve başlatıldığında ve uygulama güncellemelerini kontrol ettiğinde, dcsdkos.dc16888888.com adresindeki sunucularla HTTPS üzerinden iletişim kurar.
Ancak uygulama, uygun doğrulama olmadan her türlü sertifikayı kabul eden özel bir güvenlik doğrulayıcı uygular.
Bu gözetim, aynı ağ üzerinde konumlanan saldırganların bu bağlantılara müdahale etmesine ve kötü amaçlı kod yerleştirmesine olanak tanır.
Güvenli olmayan güven yöneticisi com.nasa.memory.tool.lf sınıfında uygulanır. CheckServerTrusted yöntemi, iletişim ortaklarının meşru olduğunu doğrulamak yerine, bunları doğrulamadan boş değerleri döndürür.
Saldırganlar, uygulamada depolanan sabit kodlu bir DE252F9AC7624D723212E7E70972134D şifreleme anahtarıyla birleştirildiğinde, cihazın kabul edeceği ve şifresini çözeceği yanıtlar oluşturabilir.
Yanıt, uygulamanın daha sonra Java yansıtma tekniklerini kullanarak yükleyip çalıştırdığı Dalvik Yürütülebilir dosyasına yönelik bir indirme bağlantısı içerir.
Yürütme, harici kaynaklardan kodu dinamik olarak yükleyen DexClassLoader aracılığıyla gerçekleşir.
Uygulama, datadatacom.zeasn.framefiles.honor dizininde depolanan indirilen JAR dosyalarını işaret eden bu sınıf yükleyicinin bir örneğini oluşturur.
Daha sonra com.sun.galaxy.lib.OceanInit.init adı verilen önceden tanımlanmış bir giriş noktası yöntemini arar ve otomatik olarak çağrılır.
Uhale uygulaması sistem düzeyinde ayrıcalıklarla çalıştığından ve cihazlarda SELinux devre dışı olduğundan ve su komutları mevcut olduğundan, enjekte edilen kod anında sınırsız root erişimiyle çalışır.
Bu, saldırganların rastgele kabuk komutları yürütmesine, kalıcı kötü amaçlı yazılım yüklemesine, sistem dosyalarını değiştirmesine veya diğer uygulamalardan hassas verileri toplamasına olanak tanır.
Belirlenen kötü amaçlı yazılım örnekleri, Quokka’nın davranışsal analiz motoru tarafından yüzde 100 güvenle casus yazılım olarak sınıflandırılan birden fazla APK paketini içeriyordu.
Bunlar arasında com.app.mz.s101, com.app.mz.popan ve gözetim ve sistem kontrolü amacıyla özel olarak tasarlanmış diğer birkaç yazılım da vardı.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
