Уязвимость Dirty COW мигрировала с Linux на Android - Новости и Обзоры
интернет-защита
все антивирусы в одном приложении

Уязвимость Dirty COW мигрировала с Linux на Android

Уязвимость Dirty COW, пропатченная в Linux почти год назад, начала использоваться вредоносным ПО для Android.

Брешь CVE-2016-5195 оказалась одной из самых долгоживущих в Linux. Обнаружить и устранить ее удалось лишь спустя девять лет после появления в версии 2.6.22. Свое название уязвимость получила благодаря функции copy-on-write (копирования при записи), или COW. Этот механизм используется для оптимизации потребления физической памяти. Логическая ошибка в ядре Linux позволяла создать условия «гонки» и получить доступ к редактированию read-only файлов на диске.

Закрыть уязвимость удалось благодаря исследователю Linux Филу Эстеру (Phil Oester), который задокументировал ее в прошлом году. Хотя отсутствие удаленного root-доступа значительно снижало потенциальный вред Dirty COW, патч последовал незамедлительно. Дыру в платформе Android, основанной на Linux, разработчики Google залатали тогда же. Как оказалось, атаки на Dirty COW все еще актуальны.

Новоявленный зловред, оперирующий эксплойтом к CVE-2016-5195, получил название ZNIU. По свидетельству экспертов, этот эксплойт отрабатывает только на Android-устройствах с 64-разрядной архитектурой ARM/X86. После установки ZNIU внедряет бэкдор, чтобы собрать информацию о зараженном гаджете и получить права суперпользователя. Если же устройство работает на базе 32-разрядного процессора, вредонос использует приложение KingoRoot и эксплойт Iovyroot (для CVE-2015-1805) — они также предоставляют права суперпользователя на Android-смартфонах и планшетах.

Дальнейшие события зависят от местонахождения владельца смартфона. Китайские пользователи без своего ведома получают платную подписку на контент одной из местных медиакомпаний. Все SMS, способные вызвать подозрение владельца смартфона, автоматически стираются. За пределами Китая бэкдор, как сообщается, никаких действий не совершает.

Исследователи составили список из более чем 1200 приложений, зараженных ZNIU. Это игровые и порно-программы, размещенные в неофициальных магазинах. Таким образом, чтобы заполучить Dirty COW на свой смартфон, пользователь должен нарушить одно из базовых правил безопасности ОС Android и скачать программу из непроверенного источника. Подобную неосмотрительность проявили по меньшей мере 5000 человек в Китае, Индии, США, Японии, Канаде и Индонезии. Реальная цифра может быть и больше — Trend Micro получает данные только с тех смартфонов, на которые распространяется ее система защиты.

ZNIU — весьма безобидный мобильный зловред по сравнению с такими троянами, как Triada, Marcher, Loki и т. д. Он не шифрует содержимое смартфона, не похищает данные кредитных карт, даже особо не скрывается. Тем не менее, тот факт, что уязвимость, пропатченная год назад, продолжает подвергать опасности смартфоны, в очередной раз заставляет вспомнить, что информационная безопасность гаджета — это прежде всего дело рук его владельца.

Сообщество Вконткте
обзоры антивирусов и программ безопасности
Комментарии и отзывы
Добавляя комментарий, ознакомьтесь с Правилами сообщества
Система Orphus