SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
17 Фев 2017

Нарушено разграничение рабочих и личных данных на Android

На конференции RSA, проходящей в Сан-Франциско, эксперты Skycure продемонстрировали обход защитного сервиса Android for Work, предназначенного для разделения корпоративного и персонального пространств на мобильном устройстве по принципу песочницы.

Платформу, известную как Android for Work, Google теперь называет «рабочие функции в Android».

Эта служба управления мобильной инфраструктурой предприятия (EMM) позволяет защитить корпоративные данные и необходимые для работы приложения на Android-устройствах служащих, а также принудительно активировать защитные механизмы этой ОС, такие как подтверждение начального запуска. Для PoC-демонстрации обхода многопользовательского фреймворка исследователи использовали два разных вредоносных приложения. Если пользователя удастся убедить загрузить их в личный профиль, атакующий получит повышенные привилегии для работы со специальными возможностями (Accessibility Services) и нотификациями в рамках и рабочего, и персонального профилей.

По свидетельству исследователей, атаку на Android for Work, которую они назвали app-in-the-middle, «приложение посередине», можно осуществить двумя способами. В первом случае создается фиктивное приложение (эксперты именуют его NotiMirror), которое предлагает пользователю отображать нотификации на рабочем столе. В ходе установки NotiMirror запрашивает разрешение на управление функцией мобильных уведомлений и, получив это разрешение, обретает возможность отсылать на сторонний сервер все принимаемые устройством нотификации, в том числе SMS-сообщения.

«Поскольку доступ к Notifications – привилегия уровня устройства, вредоносное приложение в персональном профиле получает разрешение на просмотр и совершение действий в отношении всех нотификаций, в том числе рабочих, так как это предусмотрено проектом, – пишет в блоге Skycure Яир Амит (Yair Amit), соучредитель и технический директор компании. – Эти нотификации несут конфиденциальную информацию: запланированные совещания, email-сообщения и прочее, и она видна также ‘персональному’ вредоносному приложению».

Такой сценарий атаки позволит также перехватывать нотификации, присылаемые в виде SMS в ответ на запрос о смене пароля, и, таким образом, обеспечит злоумышленнику доступ к корпоративным ресурсам – к Salesforce или Slack. «Это составляет серьезное препятствие использованию Android for Work в качестве надежной песочницы, повышающей производительность мобильных служащих, так как EMM-решения не имеют механизма для распознавания таких атак или защиты от них, – предупреждает Амит. – Злоумышленник сможет таким образом перехватывать коды двухфакторной аутентификации, и администратор даже не догадается о краже».

Второй способ атаки app-in-the-middle предполагает использование Accessibility Service, которая, в частности, отвечает за звуковое воспроизведение текста, отображаемого на экране (это удобно для пользователей с плохим зрением). Для выполнения подобных функций Accessibility должна иметь доступ на чтение и запись ко всему контенту и средствам управления на устройстве.

Для демонстрации второй PoC-атаки исследователи создали другое приложение, StickiWiki, которое запрашивает разрешение на мониторинг контента, отображаемого на экране. Это ему нужно якобы для того, чтобы обеспечить возможность выполнения shortcut-команды @Wiki:, вставляющей сокращенные записи из Википедии в любое Android-приложение (чат-клиент, email).

Хотя StickiWiki устанавливается в персональный профиль, это приложение мониторит весь контент, отображаемый на Android-устройстве. Когда пользователь заходит в рабочий профиль и просматривает защищенный контент, автор атаки пускает в ход StickiWiki для копирования текста с экрана и отправки его на удаленный сервер.

«Это приложение посередине размещено в персональном профиле, однако оно эффективно крадет корпоративные данные, пока пользователь с ними взаимодействует, – поясняет Амит. – Персональный профиль нельзя мониторить или контролировать из рабочего профиля, поэтому даже в том случае, если IT-администратор попытается принудительно обезопасить рабочий профиль (к примеру, ограничением настроек или использованием белого списка разрешенных приложений), он не сможет обнаружить раскрытие конфиденциальной информации, использующей Accessibility Service, так как персональный профиль ему недоступен».

По словам исследователя, функции Accessibility Services доступны лишь некоторым приложениям; доступ в данном случае контролируется с помощью белого списка, содержащего имена пакетов. Как оказалось, это ограничение легко обойти: Амит и его коллега присвоили вредоносному приложению имя одной из легитимных программ, указанных в белом списке.

Результаты исследования Skycure передала в Google и получила следующий ответ: поскольку приложения загружаются не из Google Play, а пользователь должен сам выдавать им чрезмерные разрешения, подобные атаки не могут составить серьезной угрозы многопользовательскому фреймворку Android, помогающему решать рабочие задачи на личном устройстве.

«Приложения, созданные в ходе исследования, показали наличие реальных рисков, – заявил Амит. – Приложения, использующие разрешения Accessibility и Notification, имеются в избытке как на Google Play, так и в других источниках, хотя большинство их использует с благими намерениями. Из-за недостатков, выявленных в ходе исследования, они по сути составляют угрозу большинству конфиденциальных корпоративных данных, хранящихся в бизнес-профилях Android».

Теги:
Android утечка информации Google
Источник:
Threatpost
1360
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015