Главная страница - Конъюнктурный анализ средств безопасности

Введение в мобильную вирусологию



Важнейшим фактором развития вредоносных программ на мобильных устройствах являются уязвимости в используемом программном обеспечении и самих мобильных операционных системах. В ситуации с персональными компьютерами почти все крупные вирусные эпидемии последних лет были вызваны именно наличием уязвимостей в ОС Windows. У злоумышленников существует всего два способа для проникновения в систему: человеческий фактор (социальная инженерия) и ошибки в программном обеспечении (уязвимости). Эти же вектора атак полностью применимы и для мобильных устройств.

Следует рассматривать как минимум три основных источника уязвимостей:

  • операционная система Windows CE;
  • операционная система Symbian;
  • беспроводные протоколы (Bluetooth, WiFi, инфракрасные порты).

Windows CE представляет собой крайне уязвимую, с точки зрения безопасности, систему. В ней не существует никаких ограничений для выполняемых приложений и их процессов. Запущенная программа может получить полный доступ к любым функциям ОС — приему\передаче файлов, функциям телефонных и мультимедийных служб и т.д.

Создание приложений для Windows CE крайне просто. Это весьма открытая для программирования система, позволяющая использовать возможности не только машинных языков (например, ASM for ARM), но и такой мощной среды разработки, как .NET.

Несмотря на то, что в настоящее время нам известны всего 4 семейства вирусов для Windows CE, не стоит недооценивать потенциал этой ОС — с точки зрения вирусописательства. Существующие вирусы в полной мере покрывают собой все самые опасные виды вредоносных программ: классический вирус, почтовый червь, бэкдор и червь, способный перебираться на телефон при его соединении с компьютером. Происходит стремительный взлет популярности платформ на основе Windows CE, и в ближайшие годы они могут занять первое место среди ОС для смартфонов, потеснив Symbian.

На фоне этого наблюдается рост интереса к этой платформе как со стороны вирусописателей, так и со стороны исследователей. Мы уже говорили о том, что в августе на конференции DefCon Collin Mulliner представил доклад об обнаружении уязвимости в обработке MMS на Windows CE 4.2x. На сегодняшний день Microsoft и ее партнеры ведут работы по устранению этой ошибки, но даже после выхода исправления будет необходимо уведомить всех пользователей уязвимых устройств о необходимости «перепрошивки» их смартфонов\КПК.

Не стоит забывать о том, что это только одна из серьезных уязвимостей в Windows CE, обнаруженная в последние месяцы. Существует возможность организации на мобильные устройства Denied of Service атак через уязвимости в ActiveSync и MMS\SMS.

Отдельную опасность представляют потенциальные уязвимости в Internet Explorer для Windows CE и программах преобразования форматов файлов. В том, что они существуют, у нас нет никаких сомнений. Вопрос только в том, кому первому удастся их обнаружить — вирусописателям или честным исследователям, вроде Collin Mulliner или Tim Hurman (последний обнаружил уязвимость Bluetooth stack remote code execution: информация об уязвимости полностью засекречена).

Первый вирус для Windows CE — Duts — использовал для своей работы одну из уязвимостей в файловом API, которая была неизвестна Microsoft (0-Day).

Подведем итог. Windows CE будет становиться популярней с каждым днем. Темпы появления вредоносных программ для этой платформы скоро могут сравняться с темпами symbian-malware. Основной средой для работы вирусов будет .NET. Значительная часть вирусов будет использовать те или иные уязвимости в WinCE.

Самой популярной embedded-OS сейчас является Symbian. Здесь ситуация с уязвимостями не столь угрожающа, как в Windows CE, однако эта защищенность кажущаяся. Сама архитектура Symbian Series 60 имеет ряд значительных ошибок-особенностей, которые мы считаем самыми настоящими уязвимостями. Мы уже говорили о том, что Symbian позволяет перезаписывать любые системные приложения без пользовательского согласия, а при возникновении проблем с нестандартным форматом файла система становится крайне нестабильной и может вызывать перезагрузку телефона. Кроме этого, уровни безопасности для приложений весьма похожи на аналогичные у Windows CE. Говоря проще, они просто отсутствуют. Если приложение попало в систему — оно имеет абсолютную власть над всеми функциями. К счастью, до сего времени не было обнаружено уязвимостей в обработке Bluetooth-соединений и MMS для этой платформы. Легко себе представить, что бы произошло, если бы Cabir или ComWar обладали возможностью для автоматического проникновения в систему и запуска.

Symbian более закрытая система, чем Windows CE. Для создания полнофункциональных приложений требуется специальный набор DDK стоимостью в несколько десятков тысяч долларов. Но, как видно по количеству троянских программ, при существовании уязвимостей в архитектуре ОС вирусописатели вполне обходятся средствами, доступными любому.

Сложилась довольно парадоксальная ситуация: Symbian популярней, чем WinCE, но серьезных уязвимостей для нее известно меньше. Как нам кажется, этому есть только одно объяснение: усилия исследователей пока еще не нацелены на Symbian в такой же мере, как на продукцию Microsoft. Однако даже беглый взгляд и простейшие эксперименты показывают, что ошибки в Symbian встречаются на каждом шагу. В подтверждение этих слов я представляю описание одной из них, которая может считаться еще неизвестной. Информация о ней была прислана нам одним из наших пользователей и была нами проверена и воспроизведена в нашей тестовой лаборатории.

Уязвимости подвержены телефоны, работающие на Symbian Series 6.x. Она была протестирована на Siemens SX-1 и Nokia 3650.

Достаточно создать файл с именем “INFO .wmlc”, где после INFO до точки находятся 67 пробелов. Содержимое файла может быть абсолютно произвольным (более 2 байт). Если этот файл послать на другое устройство через Bluetooth или инфракрасный порт (файл может быть послан в виде MMS, размещен на web-сайте и открыт при его посещении (не проверялось)), то получатель при открытии сообщения получит сообщение об ошибке «App. closed AppArcServerThread USER 8». После этого телефон начнет работать значительно медленнее и может происходить отказ в работе некоторых приложений с последующей перезагрузкой телефона.

Мы имеем дело с классической уязвимостью типа «отказ в обслуживании». Расширение «wmlc» связано со стандартным браузером, и при обработке нестандартного имени файла происходит ошибка в компоненте, отвечающем за запуск этого браузера. Нами не проводился детальный анализ уязвимости, возможно, что помимо отказа в обслуживании уязвимость позволяет выполнить произвольный код в системе.

Это сообщение можно считать официальным уведомлением для компании Symbian о существовании уязвимости.

Компания Symbian, сообщество производителей смартфонов на этой ОС, а также разработчики программ для нее уже обратили свое внимание на существование вирусов в этой операционной системе и прилагают все усилия, для того чтобы очередная версия Symbian была максимально защищена от любых вредоносных программ. Недавно был объявлено о том, что они реализуют архитектуру защиты приложений, похожую по своему устройству на технологию spanustingComputer, внедряемую на некоторых процессорах для PC. Планируется создать некую «защищенную область памяти», доступ к которой будут иметь только доверенные приложения. В принципе, такой подход может решить проблему с примитивными троянцами-вандалами типа Skuller, однако не избавит полностью от проблем с уязвимостями в самой ОС и ее приложениях. Кроме того, не стоит забывать еще об одном законе существования вирусов: «Вирус может делать в системе все то же, что может делать пользователь». А значит черви, рассылающиеся по Bluetooth и MMS, останутся реальностью и в будущем.

В этой статье мы не будем подробно останавливаться на уязвимостях в самих беспроводных протоколах Bluetooth и WiFi. Всех интересующихся этой стороной проблемы мы отсылаем к материалам исследований таких групп, как spanifinite или Pentest. Также мы уже публиковали результаты некоторых наших исследований в этой области. Отметим только, что несмотря на то что существует достаточное число уязвимостей в беспроводных протоколах на мобильных устройствах, пока еще вирусописатели не начали их использование в своих творениях. Однако в том, что это дело самого ближайшего будущего, у нас нет никакого сомнения.

http://www.viruslist.com




Похожие по содержанию материалы раздела: Учения ВДВ прошли с размахом Как без приключений доехать до Крыма и сохранить свои деньги 17 особо опасных организаций, признанных Верховным судом России террористическими В России принят закон "О защите конкуренции" Операция «Инкассация» Отменят ли банковскую тайну Таблетка с микрочипом НОВЫЕ ПЕРСПЕКТИВЫ БИЗНЕСА В СФЕРЕ БЕЗОПАСНОСТИ Подземный "дозор" Уголовный розыск потерял два сейфа секретов Кому на Руси не жить Безопасность в лицах: Гудков Геннадий Владимирович "Дворцы коммунизма" унес неизвестный "Милосердие" с летальным исходом США: Системы безопасности на школьных автобусах ГАИ с возу Ливерпуль – безопасный город Оштрафуют не по-детски Обеспечение Информационной Безопасности: "запрещено всё, что не разрешено"

(c) 2008
Видеонаблюдение,
охранная и
пожарная сигнализация