Yakın zamanda yapılan bir araştırma, Android destekli dijital fotoğraf çerçevelerindeki endişe verici güvenlik açıklarını ortaya çıkardı ve basit bir ev veya ofis cihazı olması gereken cihazı siber suçlular için güçlü bir araca dönüştürdü.
Bulgular, bu akıllı fotoğraf çerçevelerine önceden yüklenen uygulamaların, yalnızca kötü amaçlı yazılımları otomatik olarak indirip yürütmekle kalmayıp, aynı zamanda kurbanın ekrana dokunmasına bile gerek kalmadan cihazın kontrolünün tamamını uzaktaki saldırganlara devredebileceğini ortaya koyuyor.
Güvenlik araştırmacıları, düzinelerce farklı tüketici markası altında yeniden markalanan ana akım Android tabanlı ürün grubu olan Uhale destekli dijital resim çerçevelerini analiz etti ve “önyükleme sırasında otomatik kötü amaçlı yazılım dağıtımını” kritik bir güvenlik açığı olarak belirledi.
Uhale uygulaması (genellikle sürüm 4.2.0) açıldığında uzak sunuculara bağlanır ve gelişmiş davranışsal motorlar tarafından casus yazılım ve truva atı olarak işaretlenen APK ve JAR yükleri de dahil olmak üzere şüpheli dosyaları indirir. İndirildikten sonra bu yapılar, kullanıcıya görünür bir uyarı vermeden, genellikle arka planda otomatik olarak yürütülür.
Kötü amaçlı yazılım, Çin’de kayıtlı altyapıdan getiriliyor ve dc16888888.com ve webtencent.com gibi alan adları, kötü amaçlı içeriği sürekli olarak barındırıyor veya dağıtıyor.
Endişe verici bir şekilde, VirusTotal’daki güvenlik ürünleri bu yükler için tutarsız ve genellikle zayıf tespit gösterdi; bu da birçok standart antivirüs uygulamasının kullanıcıları korumada başarısız olacağı anlamına geliyor.Technical_Uhale-Digital-Picture-Frame-Security-Assessment.pdf
Android Fotoğraf Çerçevesi Uygulaması
Araştırma, saldırı yüzeyinin yalnızca kötü amaçlı yazılım indirmelerinin çok ötesine uzandığını buldu. Uhale uygulaması, HTTPS için güvenli olmayan güven yönetimi, uygun giriş doğrulama eksikliği ve sistem ayrıcalıklarının tehlikeli kullanımı gibi çeşitli yüksek riskli güvenlik açıklarından muzdarip olduğundan, saldırganlar kök olarak uzaktan kod yürütmek için cihazı ağ üzerinden kullanabilir.
Aşağıdaki markaları içeren, ürün başlığında veya ürün açıklamasında satılan “Uhale”: BIGASUO, Canupdog, Euphro, SAMMIX, WONNIE, Jaokpo, MaxAngel, jazeyeah, FANGOR, Forc, Caxtonz, Shenzhen Yunmai Technology Co. LTD.
Uygulamalı istismarlar, kötü niyetli bir aktörün, yerel bir ağdan veya uzaktan müdahale yoluyla, cihazın davranışını değiştirebileceğini, verileri sızdırabileceğini, özel fotoğraflara erişebileceğini veya cihazı ev veya kuruluş içinde daha fazla saldırı için bir sıçrama tahtası olarak kullanabileceğini gösterdi.Technical_Uhale-Digital-Picture-Frame-Security-Assessment.pdf
Özellikle ciddi bir zayıflık, uygulamanın SSL/TLS sertifikalarının doğrulanmasını gerçekleştirmeyen yerleşik güven yöneticisidir.
Bu, saldırganların, meşru uygulama güncellemeleri veya verileri olarak gizlenen hazırlanmış veriler sunmasına olanak tanır; çerçeve, daha sonra herhangi bir uyarı vermeden veya sahibinden herhangi bir gerekli işlem yapmadan bunları yükleyip çalıştırır.
Bu güvenlik açıkları, ortadaki adam (MITM) saldırısı, DNS zehirlenmesi ve hatta halka açık Wi-Fi kullanımı sonrasında cihazın tamamen tehlikeye girmesine neden olacak şekilde zincirlenebilir.
Daha fazla teknik analiz ve güvenlik bloglarıyla yapılan çapraz referanslar, Uhale uygulamasının kötü amaçlı işlevleri ile 1,6 milyondan fazla Android tabanlı akıllı TV ve benzeri IoT cihazına bulaşan kötü şöhretli Vo1d botnet’i arasındaki bağlantılara işaret ediyor.
Ek olarak, şifresi çözülmüş JSON’daki md5 anahtarının, url anahtarındaki URL’den indirilen yanıt gövdesinin hesaplanan MD5’iyle eşleşmesi gerekir.
İndirilen veriler Mzmess kötü amaçlı yazılım ailesiyle kod ve altyapı paylaşıyor ve bu da bu tehdidin modüler ve kalıcı doğasını daha da ortaya koyuyor.Technical_Uhale-Digital-Picture-Frame-Security-Assessment.pdf
Kamera Arkası Teknik Eksiklikler
Tehlike, düşük maliyetli Android cihazlarına özgü birkaç teknik yanlış adım nedeniyle daha da kötüleşiyor:
- Eski Android 6 donanım yazılımı, artık güvenlik güncellemeleri almıyor.
- SELinux devre dışı bırakılmış ve cihazlar varsayılan olarak rootlanmış olarak gönderilen çerçeveler.
- Zayıf kriptografik korumalar, yanlış yapılandırılmış dosya paylaşımı ve yararlanılabilir hata ayıklama özellikleri.
- Gelen dosya aktarımları veya güncellemeler için kimlik doğrulama veya içerik filtreleme yoktur.
Bu güvenlik açıklarının etkileri geniş kapsamlıdır. Güvenliği ihlal edilmiş fotoğraf çerçeveleri gözetim araçlarına, veri sızma noktalarına dönüşebilir veya devasa botnet’lere dahil edilebilir.
Kurumsal ağlar için, güvenliği ihlal edilmiş tek bir çerçeve, saldırganlara yanal hareket fırsatı sunarak iş istasyonlarına, dosya paylaşımlarına ve diğer hassas sistemlere sıçramalarına olanak tanır.Technical_Uhale-Digital-Picture-Frame-Security-Assessment.pdf
Düşük fiyatları ve büyük çevrimiçi perakendeciler aracılığıyla yaygın dağıtımları nedeniyle, bu Android fotoğraf çerçeveleri on binlerce evde ve işyerinde bulunmaktadır.
Kullanıcılardan etkilenen çerçevelerin ağ bağlantısını kesmeleri, düzensiz davranışları izlemeleri ve satıcılardan güvenlik güncellemeleri veya cihazların geri çağrılmasını talep etmeleri isteniyor.
Güvenlik uzmanları, bu tür güvenlik açıklarının, özellikle Android’i yerleşik bir işletim sistemi olarak kullanan ve temel güvenli geliştirme uygulamalarını uygulama konusunda başarısız olan, bakımı yetersiz IoT ürünlerine ilişkin süregelen riski gösterdiği konusunda uyarıyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.