Израильские исследователи, которые на прошлой неделе обнаружили ошибку, позволяющую обойти VPN на Android 4.3 Jelly Bean, продолжили тестирование и сообщили, что уязвимость присутствует также и в последней версии операционной системы, KitKat 4.4.

Как и в Jelly Bean, эта уязвимость позволяет вредоносному приложению обойти конфигурацию VPN и перенаправить трафик на другой сетевой адрес.

Так как в KitKat система безопасности была модифицирована, исследователи не могли использовать тот же код, что и для Jelly Bean, но у них получилось разработать другой работающий код. Уязвимость основана на том, что вредоносному приложению для обхода VPN-конфигурации не нужны права root для «перенаправления защищенных передач на другой сетевой адрес».

Дуду Мимран, CTO Cyber Security Labs, подразделения университета Бен-Гуриона в Беэр-Шеве в Израиле, обсуждал баг в Jelly Bean в докладе, выпущенном на прошлой неделе.

Так же как и в случае с той уязвимостью, Мимран доложил, что обмен данными по VPN в KitKat производится чистым текстом без шифрования, без ведома пользователя.

В своем видео исследователь очертил эксплойт этой уязвимости, для начала указав версию (в данном случае — 4.4.2), подключившись к VPN и продемонстрировав сбор важных данных, передающихся по SMTP с помощью инструмента перехвата сетевых пакетов.

По словам исследователей, корни этой уязвимости в KitKat растут из другой уязвимости, обнаруженной в прошлом году в платформе безопасности Samsung Knox. Эта уязвимость позволяла злоумышленнику перехватывать обмен данными между Knox и внешними файлами на Samsung Galaxy S4 и, в свою очередь, обходить Knox.

Samsung и Google отклонили доводы университета Бен-Гуриона и Cyber Security Labs касательно Knox, заявив, что эксплойт «использует сетевые функции Android неподходящим способом» и что это открытие не является ни багом, ни изъяном, а просто классической атакой «человек посередине» (Man-in-The-Middle, MitM). В публичном ответе, написанном фирмами, было подчеркнуто, что «Android поддерживает как встроенный VPN, так и сторонние VPN-решения для защиты данных» и использование любого из них «предотвратит атаку, основанную на локальном приложении, установленном пользователем». Cyber Security Labs продолжили дискуссию Google и Samsung в собственном сообщении на прошлой неделе.

Группа доложила Google об обеих проблемах с VPN через стандартные инструменты сообщения об уязвимостях, но до сих пор так и не услышала ничего, кроме того, что компания еще рассматривает эти доклады. Учитывая ответ Google и Samsung на сообщение об уязвимости Knox, должно быть интересно, что они скажут в этот раз, как только пыль осядет.

В прошлом Cyber Security Labs разъясняли, что их действия проистекают из того, что они называют Responsible Full Disclosure Policy («Ответственной политикой полного раскрытия»). В таких ситуациях они сообщают общественности о каждой найденной проблеме, без раскрытия критичных подробностей, которые позволят кому-либо повторить атаку.

Категории: Уязвимости