Tehdit aktörleri, ayrıcalık artışına ulaşmak için giderek daha fazla meşru kanallardan yararlanıyor ve dünya çapında milyonlarca cihaz için ciddi bir risk oluşturuyor.
Geleneksel istismarlar bir endişe kaynağı olmaya devam ederken, yan yükleme ve orijinal ekipman üreticisi (OEM) izinleri gibi mekanizmalar yoluyla aşırı sistem erişimi elde eden uygulamalardan daha sinsi bir tehlike ortaya çıkmaktadır.
Genellikle cihaz üreticileri tarafından tescilli işlevsellikler için gömülü olan bu izinler, Android’in standart güvenlik modelini atlayarak, geleneksel yöntemleri kullanarak tespit edilmesi zor olan güvenlik açıkları oluşturur.
.png
)
Android güvenliğinde gizli bir tehdidi ortaya çıkarmak
Örneğin, görünüşte iyi huylu bir yardımcı program uygulaması, sistem ayarları değişiklikleri, ağ erişimi ve depolama kontrolü için izin talep edebilir.
Bireysel olarak, bu talepler meşru görünür, ancak kombinasyon halinde, genellikle standart güvenlik taramalarında kırmızı bayraklar kaldırmadan bir cihaz üzerinde yıkıcı kontrol sağlayabilirler.
Zimperium raporuna göre, bu saldırıların karmaşıklığı güvenilir yollardan yararlanmalarında yatmaktadır.
Sistem düzeyinde işlemlere yönelik OEM izinleri, kötü amaçlı uygulamalar meşru sistem uygulamalarını taklit ettiğinde veya tehlikeye atılan uygulamalar yükseltilmiş ayrıcalıkları devraldığında istismar edilebilir.
Bu tür izinler, saldırganların güvenlik politikalarını değiştirmesine, donanım özelliklerine erişmesine, kullanıcı gizlilik ayarlarını geçersiz kılma veya Android’in doğal kısıtlamalarını geçmesine izin verebilir.
Ayrıca, Google Play Store’un dışına yüklenenlerin genellikle incelemeden kaçarken, OEM’lerin önceden yüklenmiş uygulamaları, onları sömürü için birincil hedefler haline getiren doğal ayrıcalıklarla birlikte gelir.
Meşru erişimden kötü niyetli sömürüye
Çarpıcı bir örnek, APP’lerin ekran içeriğini okumasını ve girişleri otomatikleştirmesini sağlayan engelli kullanıcılar için tasarlanmış güçlü bir araç olan Android’in erişilebilirlik API’sının kötüye kullanılmasıdır.
Kötü niyetli aktörler, hassas verileri engellemek, yetkisiz eylemleri otomatikleştirmek ve aldatıcı kullanıcı arayüzü öğelerini enjekte etmek için bu API’yi kullanır ve Google’ın Android 13’ten oturumdan tabanlı kurulum yöntemlerindeki kenar yüklenmiş uygulamalardaki sıkı kısıtlamalarını atlar.
Play Store’da bile, Başlangıçta Temiz Uygulamalar yükleme sürüm taktikleri kullanılarak kötü amaçlı yazılım gibi Droppers gözlemlenerek, daha sonra hain amaçlar için erişilebilirlik hizmetlerinden yararlanmak için kötü amaçlı güncellemeler sunuldu.
Aynı şekilde, işlevsellik kisvesi altında üst düzey izinleri kullanan daha temiz uygulamalar ve önceden yüklenmiş yazılımlardır.
Bazen milyonlarca kez indirilen bu uygulamalar, komut ve kontrol sunucularından dinamik olarak kötü amaçlı kod yükleyebilir ve bankacılık uygulaması kaplamaları aracılığıyla kimlik bilgisi hırsızlığı gibi eylemler veya SMS aracılığıyla çok faktörlü kimlik doğrulama kodlarını ele geçirebilir.
Kaldırılamayan önceden yüklenmiş uygulamalar, yüz milyonlarca cihazı etkileyen yaygın olarak kullanılan bir OEM güvenlik uygulamasında görüldüğü gibi, yüksek erişimleri ve niyet yeniden yönlendirme gibi güvenlik açıklarına duyarlılıkları nedeniyle eşit bir tehdit oluşturur.
Bu tür kusurlar, saldırganların kullanıcı etkileşimi olmadan özel verilere erişmesine izin vererek gizliliği büyük ölçekte tehlikeye atar.
Bununla mücadele etmek için kuruluşlar, hem statik hem de dinamik izinleri inceleyen ve ayrıcalık birikimini önlemek için uygulama davranışını analiz eden güçlü uygulama veterinerlik süreçlerini benimsemelidir.
Android ekosistemleri üçüncü taraf mağazalar ve yan yükleme uygulamaları ile büyüdükçe, kapsamlı güvenlik önlemlerine duyulan ihtiyaç, kullanıcıları bu gizli ancak katastrofik tehditlerden korumak için çok önemli hale gelir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin