Sécurité

Contourner Google’s Bouncer, le système anti-malware d’Android – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

En réponse à la cible de plus en plus large que son système d’exploitation Android présentait aux pirates, Google a déployé le système anti-malware « Bouncer » en février 2012. Bouncer a été conçu pour filtrer les applications malveillantes avant qu’elles n’apparaissent sur l’Android Market, comme ça s’appelait à l’époque. Le nom a changé pour jeu de Googlemais Bouncer a continué à avancer, nous protégeant silencieusement des vers et des chevaux de Troie.

Google était léger sur les détails lorsqu’il a révélé Bouncer, mais maintenant deux chercheurs en sécurité de Duo Security, Charlie Miller et Jon Oberheide, ont trouvé un moyen d’accéder à distance à Bouncer et de l’explorer de l’intérieur. Ce qu’ils ont trouvé montre que les auteurs de logiciels malveillants intelligents peuvent toujours détruire votre téléphone.

Ce que fait le videur

Tout au long de 2011, Google a été en proie à des cas de Logiciels malveillants Android profitant des exploits dans le code du système d’exploitation. Pire encore, ces applications malveillantes finissaient parfois par pénétrer sur l’Android Market. Il y avait des applications qui volaient des contacts, suivaient vos frappes au clavier et même celles qui accumulaient d’énormes factures en envoyant des SMS à des numéros surtaxés. Ce code peu recommandable flottait généralement autour des forums warez, mais son apparition dans le Play Store n’était pas inconnue.

jeu de GoogleGoogle a toujours permis aux développeurs de télécharger leurs applications pour les rendre disponibles immédiatement. Mais comme Android attirait davantage l’attention du mauvais type de personnes, il était clair que quelque chose devait être fait.

Le résultat a été Bouncer, mais Google a choisi de n’en parler que dans les termes les plus généraux au début. Bouncer a été conçu pour ajouter une nouvelle couche de sécurité à Android sans obliger les développeurs à passer par un processus d’approbation fastidieux géré par des humains spongieux. L’efficacité à froid d’une machine automatisée est tout ce dont Google a besoin.

L’annonce de février affirmait que Bouncer fonctionnait tranquillement en arrière-plan depuis plusieurs mois, ce qui a entraîné une baisse de 40 % des applications potentiellement malveillantes sur le marché. Une fois les analyses terminées, les applications passantes seront publiées de la manière habituelle. Les développeurs n’ont eu à subir que quelques minutes de retard. Cela ressemblait presque à une balle magique à l’époque.

Psssssst :  Des hackers chinois infiltrent des sociétés de semi-conducteurs taïwanaises - High-teK.ca

Comme nous l’apprenons maintenant, le logiciel malveillant annihilé par Bouncer aurait pu être le fruit à portée de main.

Comment Bouncer fonctionne de l’intérieur

Miller et Oberheide sondent le Market/Play Store depuis un certain temps dans le but d’en savoir plus sur Bouncer. Les chercheurs ont finalement réussi à jetez un coup d’œil au tueur de spam avec une application Android spécialement codée conçue pour permettre l’accès à distance pour Duo Security. Bouncer est un téléphone virtuel émulé sur un serveur Google. Lorsque Bouncer a chargé l’application cheval de Troie, Miller et Oberheide ont pu alimenter les commandes du shell Bouncer via une ligne de commande. C’est ainsi que les secrets de Bouncer ont été révélés.

Le système exécute un type de logiciel de virtualisation appelé QEMU, qui est un indicateur facilement détectable qui pourrait indiquer à une application qu’elle s’exécute sur Bouncer. Le compte utilisé pour enregistrer le téléphone virtuel est également identique, offrant un deuxième moyen simple d’empreintes digitales Bouncer. Google a configuré chaque instance de son téléphone virtuel avec des pots de miel pour inciter les logiciels malveillants à faire ce qu’ils font le mieux : voler des choses.

Chat sauteurIl y a deux images sur le téléphone Bouncer ; une de Lady Gaga et une d’un chat. Si une application est détectée en train de télécharger ces images sur un serveur distant, Bouncer lui donne un coup de pied rapide. De même, si une application essaie de récupérer les informations de contact du téléphone, qui comprend une seule entrée pour une Michelle.k.levin@gmail.com, l’application démarre également. Le videur surveille également le service SMS au cas où une application essaierait d’envoyer des SMS non autorisés à des numéros surtaxés.

Psssssst :  Un nouveau ransomware verrouille vos fichiers jusqu'à ce que vous jouiez à PUBG - High-teK.ca

Il est indéniable qu’il s’agit d’un moyen ingénieux de rechercher les menaces malveillantes, mais comme le souligne Duo Security, les attaquants pourraient facilement battre Bouncer à son propre jeu.

Comment Bouncer peut être cassé

Duo Security a appris une leçon importante de leur petite incursion dans Bouncer : cela ne fonctionne que lorsque personne ne connaît son fonctionnement interne. Comme je l’ai souligné, Miller et Oberheide ont trouvé plusieurs façons d’identifier l’environnement Bouncer. Cela signifie qu’un auteur de malware pourrait créer un module qui suspend le comportement malveillant pendant un certain temps lorsque Bouncer est détecté.

Sans même aller aussi loin, les auteurs de logiciels malveillants pourraient échapper à la détection en se montrant cool. Bouncer n’exécute pas les applications indéfiniment ; en fait, il n’analysera chaque application téléchargée que pendant environ 5 minutes avant de la déclarer sûre. Les méchants ont juste besoin de garder leurs intentions cachées pendant une courte période pour échapper au scanner tel qu’il existe maintenant.

CoquilleAlternativement, les personnes louches qui cherchent à exploiter votre téléphone peuvent simplement charger une application inoffensive qui passe Bouncer avec brio. Ensuite, au fil du temps, des composants peuvent être ajoutés via les mises à jour du Play Store qui activent des fonctionnalités malveillantes dormantes. Évidemment, c’est le long-con, mais pour le bon gain, cela pourrait en valoir la peine.

Duo Security dit avoir été en contact avec Google afin de corriger les vulnérabilités. Certaines choses peuvent être simples à corriger, comme l’analyse des applications pendant une période plus longue ou la modification des informations de compte par défaut. Mais d’autres, comme l’environnement virtualisé facilement détectable, seront plus difficiles à protéger contre les attaques. La meilleure solution serait d’exécuter des applications sur de vrais appareils, mais la logistique pourrait rendre cela impossible.

Psssssst :  Comment visualiser les cookies de suivi du comportement avec un add-on Firefox - High-teK.ca

Miller et Oberheide offriront une démonstration complète du hack à SummerCon plus tard cette semaine. Jusque-là, Google travaille probablement dur pour boucher les trous de Bouncer afin de se prémunir contre une nouvelle vague de logiciels malveillants.

Bouton retour en haut de la page