Bilgisayar korsanları, çok sayıda kişi kullandığı için iyi bilinen Android uygulamalarını hedefliyor; bu da, saldırdıklarında birçok kullanıcıyı etkileyebileceği anlamına geliyor.
Tüm bu uygulamalar kullanıcı verileri açısından zengindir; bu da onları kişisel ayrıntıları çalmak veya kötü amaçlı yazılım yaymak isteyen tehdit aktörleri için daha da kazançlı hale getirir.
Son zamanlarda Microsoft, yaygın olarak kullanılan Android uygulamalarında ortak bir yol geçiş güvenlik açığı tasarımı tespit etti. Bu güvenlik açığı, kötü amaçlı bir uygulamanın, güvenlik açığı bulunan uygulamaların ana dizinlerindeki dosyaların üzerine yazmasına olanak tanıyarak rastgele kod yürütülmesine ve simge hırsızlığına yol açar.
Google Play Store’da dört milyardan fazla yüklemeye sahip pek çok güvenlik açığı bulunan uygulama bulunurken, diğer uygulamalarda da bulunması bekleniyor.
Microsoft, bu sorundan etkilenen geliştiricileri bilgilendirdi, düzeltmelerine yardımcı oldu ve bu tür güvenlik açıklarının önlenmesine yönelik öneriler yayınlamak için Google ile ortaklık kurdu.
Teknik Analiz
Android işletim sistemi uygulama izolasyonunu zorunlu kılar ancak uygulamalar arasında güvenli dosya paylaşımı için FileProvider bileşenini sağlar.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Ancak, uygunsuz FileProvider uygulaması güvenlik açıklarına neden olabilir ve uygulamanın ana dizini içindeki okuma ve yazma kısıtlamalarının atlanmasına olanak tanır.
Paylaşım hedefleri, posta istemcileri, sosyal ağ uygulamaları, mesajlaşma uygulamaları, dosya düzenleyicileri, tarayıcılar vb. gibi diğer uygulamalar tarafından gönderilen verileri ve dosyaları işleyeceğini beyan eden Android uygulamalarıdır.
Bir kullanıcı bir dosyayı tıkladığında Android, alıcı bileşeni seçmek için bir paylaşım sayfası iletişim kutusunu tetikler.
.webp)
Gönderen uygulamanın kötü amaçlı bir FileProvider sürümü uyguladığını varsayalım. Bu durumda, alınan dosyanın içeriğindeki doğrulama eksikliğinden yararlanarak ve dosyayı alıcı uygulamanın dahili veri dizini içinde önbelleğe almak için sağlanan dosya adını kullanarak, alıcı uygulamanın kritik dosyaların üzerine yazmasına neden olabilir.
Paylaşım hedefleri, kullanıcının onayı olmadan doğrudan paylaşım hedefinin dosya işleme bileşenine bir dosya göndermek için özel ve açık bir amaç oluşturan kötü amaçlı bir Android uygulaması tarafından istismar edilebilir.
Kötü amaçlı uygulama, kendi FileProvider uygulamasında takas yapar ve alıcı paylaşım hedef uygulamasına yanlışlıkla güvendiği bir dosya adı verir.
İncelenen hisse hedeflerinin neredeyse tamamı bu akışı takip ediyor: –
- Uzak FileProvider’dan dosya adını isteyin
- Bir dosyayı ve çıktı akışını başlatmak için bunu kullanın
- Alınan içerik URI’sinden bir giriş akışı oluşturun
- Girişi çıkış akışına kopyala
.webp)
Hileli uygulama hem dosya adını hem de dosya içeriğini kontrol ettiğinden, bu girişe körü körüne güveniliyorsa paylaşım, özel veri alanındaki kritik dosyaların üzerine yazılmasına yol açabilir ve bu da ciddi sonuçlara yol açabilir.
Microsoft, Google Play Store’da, her biri 500 milyondan fazla kuruluma sahip olan Xiaomi Dosya Yöneticisi ve WPS Ofisi de dahil olmak üzere pek çok tanınmış Android uygulamasının yol geçiş güvenlik açığı içerdiğini tespit etti.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Microsoft ve Google, Android geliştiricilerine yol geçişi güvenlik açıklarından kaçınma konusunda rehberlik sunuyor.
- Geliştiriciler uzak kaynaklardan gelen dosya adlarını rastgele adlar veya katı doğrulama kullanarak dikkatli bir şekilde ele almalıdır.
- File.getCanonicalPath() ve Uri.getLastPathSegment() gibi teknikler dikkatli kullanılmalıdır.
- Güvenlik açığı düzeltmelerini almak için mobil uygulamaları güvenilir kaynaklardan güncel tutun.
- Paylaşımlara güvenlik açığı bulunan Xiaomi uygulama sürümleri aracılığıyla erişen kullanıcılar için kimlik bilgilerini sıfırlayın ve usulsüzlükleri izleyin.
- Android’de Uç Nokta için Microsoft Defender, kötü amaçlı uygulamaları algılarken Defender Güvenlik Açığı Yönetimi, bilinen güvenlik açıklarına sahip uygulamaları tanımlar.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide