Пользователи Android привычно предоставляют надежным приложениям доступ к другим программам, например фоторедакторам или менеджерам файлов. Но через эти приложения доступ к данным могут получить и вредоносные программы. Данную проблему с 2014 года изучают несколько групп аналитиков.

В понедельник 11 августа исследователи из Оксфордского и Кембриджского университетов Винсент Тейлор (Vincent F. Taylor), Алистер Бересфорд (Alastair Beresford) и Иван Мартинович (Ivan Martinovic) представили свои выводы о типе атак под названием Intra-Library Collusion (ILC).

“ILC происходит, когда библиотека, к которой обращается более чем одно приложение,  использует общий набор разрешений для доступа к конфиденциальным данным пользователя. Этот тип атаки возможен, так как библиотеки получают те же привилегии, что и их host-приложение. Наиболее популярные библиотеки, скорее всего, будут использоваться более чем одним приложением на устройстве”, — пишут исследователи.

Если отдельным приложениям требуются разрешения для всех операций, которые они выполняют, то атака ILC доставляет вредоносный код через библиотеку, которой пользуются программы, уже имеющие достаточные права доступа. Опасность ILC в том, что ее невозможно определить, поэтому пользователи или защитное ПО не заметят утечку важных данных. Если бы аналитики попытались определить источник вредоносной активности, то не обратили бы внимания на приложения, не имеющие привилегий для выполнения атаки. Но такое приложение вполне может нести вредоносный код.
Исследователи проанализировали 15 052 из числа самых популярных приложений для Android, установленных на 30 444 устройствах. 18 библиотек, наиболее часто используемых приложениями, они вывели в таблице:

Библиотека % приложений
com/facebook 11,9
com/google/android/gms/analytics 9,8
com/flurry 6,3
com/chartboost/sdk 5,9
com/unity3d 5,2
com/applovin 3,5
com/mopub 3,1
com/inmobi 3,0
com/google/ads 3,0
com/google/android/gcm 2,7
com/tapjoy 2,4
org/cocos2d 2,4
com/amazon 2,0
com/millennialmedia 1,6
org/apache/commons 1,4
com/heyzap 1,4
com/nostra13/universalimageloader 1,3
com/adobe/air 1,0

Результаты показали, что на данный момент самые популярные библиотеки, встроенные в разные приложения, связаны с рекламой и аналитикой. В первую очередь, это комплекты разработчика, предлагаемые Facebook (11,9%) и  Google (9,8%). Именно эти SDK с наибольшей вероятностью могут стать инструментами в руках злоумышленников, а также недобросовестных компаний, занимающихся контекстной рекламой. Исследователи отмечают, что  разработчики приложений, связанных с маркетинговой аналитикой, не стремятся ограничить доступ к библиотекам, так как “это может отрицательно повлиять на их прибыль”.

Каким образом это происходит?

Библиотеки могут использовать разрешения синих приложений, а разрешения красных для них недоступны. Но в целом библиотека-2 может получить доступ к четырем разрешениям на устройстве.

На данный момент у Google нет инструмента, способного определить потенциально опасные приложения, загружаемые в Play Market. В июне 2016 года Intel Security уже нашла 21 приложение, выполняющее ILC-атаки. Как показали другие исследования, потенциально вредоносные библиотеки  содержат до 7% приложений на Play Market. Это говорит о том, что злоумышленники обратили внимание на библиотеки как средство распространения вредоносного ПО.

ILC-атаки возможны не только на Android-устройствах. Весселин Бончев (Vesselin Bontchev) в своем твиттере отметил, что эта техника потенциально работает и на iOS, хотя до сих пор таких инцидентов не было.

Категории: Аналитика, Кибероборона, Уязвимости