روش جدیدی برای هک کردن کشف شده است که به
هکرها اجازه میدهد یک نرمافزار آندروئید آلوده رمزنگاریشده را بهطور
مخفیانه داخل یک عکس پنهان کنند تا از شناسایی توسط ضدویروسها و احتمالاً
اسکنر بدافزار سرویس گوگلپلی فرار کنند. اکسل اپریل (Axelle Apvrille)،
محقق مؤسسه فورتینت این حمله را طراحی و توسعه داده است.
به گزارش سافت گذر به نقل ازگجت نیوز؛ انجل آلبرتینی در کنفرانس کلاه سیاههای
اروپا در آمستردام، به صورت مهندسی معکوس این حمله را ارائه و رسانهای
کرد. از آنجا که مبنای حمله جدید از ایده آلبرتینی و تکنیکی به نام
AngeCryption است. این تکنیک اجازه میدهد ورودی و خروجی یک فایل عملگر
رمزنگاری مبتنی بر الگوریتم AES را طوری کنترل کنید که اطلاعات اضافی به یک
فایل افزوده شوند، ولی روی آن تأثیری نداشته باشند. استفاده از این تکنیک
همراه با برخی فرمت فایلی مانند فرمتهای عکس اجازه میدهد یک بدافزار را
رمزنگاری کرده و درون فایل دیگری قرار دهید بدون اینکه سیستم رمزنگاری یا
رمزگشایی آن به هم بریزد.
AngeCryption به صورت یک اسکریپت پایتون
پیادهسازی شده و از روی Google Code قابل دانلود است. کاربران میتوانند
این اسکریپت را دانلود کرده و طوری فایلهای ورودی و خروجی را انتخاب کنند و
روی آنها تغییرات لازم را بدهند که وقتی یک فایل ورودی با استفاده از
کلیدهای مخصوص AES و سیستم CBC (سرنام Cipher-Block Chaining) رمزنگاری شد،
فایل خروجی مورد نظر به دست آید.
اپریل و آلبرتینی هنگامی که این ایده را
طراحی میکنند، آن را به صورت یک فایل APK (سرنام Android application
package) تولید کردند. بعد آنها یک برنامه مفهومی ساختند که نشان میداد
چگونه میتوان یک بدافزار را درون یک فایل عکس PNG فیلم مشهور جنگ ستارگان
مخفی کرد. برنامه محققان میتواند این فایل PNG را با کلیدهای مخصوصی
رمزگشایی کرده و یک فایل APK دوم بسازد که قابل نصب روی سیستمعاملهای
آندروئید است. خرابکاران و هکرها میتوانند به راحتی با استفاده از
برنامههای مخرب دست به سرقت پیامهای متنی، عکسها و فایلهای دیگر بزند و
بعد از نام و حسابهای کاربری قربانیان برای ساختن این APK استفاده کنند و
آن را درون این فایلها قرار دهند. اینطوری هیچگونه ردپایی از آنها
باقی نخواهد ماند و حتی در صورت کشف شدن بدافزار، امکان ردگیری وجود ندارد.
این محققان میگویند آندروئید برای نصب فایل APK نیاز به مجوز دارد که
میتوان با استفاده از متدی به نام DexClassLoader این مجوز را صادر کرد
بدون اینکه کاربر چیزی مشاهده کند یا متوجه عملیاتی روی دستگاه خود شود.
همچنین، نیازی نیست که حتماً بدافزار در
درون عکس گنجانده شده باشد، بلکه میتواند از یک سرور راه دور مخفیانه
دانلود شود. محققان دیگر میگویند برای عملی شدن این حمله، نیاز است برخی
اطلاعات دیگر به انتهای فایل APK افزوده شود؛ زیرا این فایل به فرمت ZIP
است و اجازه نمیدهد اطلاعات اضافی با فرمت EOCD به آن اضافه شود، ولی
تکنیکهای دیگری وجود دارد که میتواند اطلاعات اضافی را به فایل ZIP
بچسباند و یک فایل معتبر بسازد. این حمله روی نسخه آندروئید ۴٫۴٫۲ کار
میکند که آخرین نسخه آن منتشر شده است. گروه امنیتی توسعهدهنده آندروئید
اعلام کردند که در حال برطرف کردن این باگ سیستمعامل هستند. اما به دلیل
اکوسیستم تکه تکه آندروئید، به احتمال زیاد تا مدتها این باگ باقی خواهد
ماند و روی بسیاری از دستگاهها قابلیت اجرا دارد.