Mobilne aplikacije je lako hakovati, a najlakše je hakovati Gmail, tvrde istraživači

Mobilni telefoni, 26.08.2014, 09:07 AM

Mobilne aplikacije je lako hakovati, a najlakše je hakovati Gmail, tvrde istraživači

Grupa istraživača sa Univerziteta Kalifornija i Univerziteta Mičigen otkrila je ranjivost, za koju istraživači veruju da postoji u Android, Windows i iOS platformi, koju hakeri mogu iskoristiti da bi došli do ličnih podataka korisnika pomoću malicioznih aplikacija.

Istraživači su otkrili način za hakovanje popularnih aplikacija za smart telefone, uključujući i Gmail za koji se ispostavilo da je jedna od aplikacija koju je najlakše hakovati, sa procentom uspešnosti od 92%.

Napad je testiran na Android telefonu (Samsung Galaxy S3), ali istraživači veruju da bi napad funkcionisao i na drugim mobilnim operativnim sistemima.

Najteže je bilo hakovati Amazon, kod koga je zabeležen procent uspešnosti od 48%.

Napad podrazumeva pristupanje deljenoj memoriji smart telefona uz pomoć zlonamernog programa maskiranog u naizgled bezopasnu aplikaciju, kao što je na primer aplikacija za menjanje pozadina.

Sve aplikacije koriste deljenu memoriju. Analizirajući je, istraživači su bili u stanju da otkriju kada se korisnik prijavljivao na aplikacije kao što je Gmail što im omogućilo da dođu do korisničkih imena i lozinki iz aplikacija.

“Pretpostavka je uvek bila da se ove aplikacije ne mogu mešati međusobno”, kažu istraživači. “Mi smo dokazali da takva pretpostavka nije tačna, i da jedna aplikacija ustvari može značajno uticati na drugu i dovesti do štetnih posledica za korisnika.”

Da bi demonstrirali svoje otkriće, istraživači su instalirali nepotpisanu aplikaciju za menjanje pozadina na telefonu koja je sadržala maliciozni kod. Kada napadač instalira takvu aplikaciju, on je može koristiti za pristup ulaznoj tački koju istraživači nazivaju “slivnik deljene memorije” koji postoji u skoro svim popularnim GUI (Graphical User Interface), a ne zahteva neke specijalne privilegije.

Nadgledajući promene u deljenoj memoriji, istraživači su bili u mogućnosti da utvrde, na primer, kada se korisnik prijavljivao na Gmail ili da uz pomoć kamere uređaja fotografišu čekove kojima plaćaju korisnici aplikacije Chase Bank. Među aplikacijama koje su hakovali istraživači su i H&R Block, Newegg, WebMD, Hotels.com i Amazon.

Da bi napad bio uspešan neophodno je da budu ispunjena dva uslova: najpre, da se napad izvede tačno u momentu kada korisnik obavlja aktivnost, i drugo, da napad bude izveden na takav način da korisnik ne zna za to.

Istraživanje je predstavljeno na konferenciji USENIX u San Dijegu 23. avgusta. Više detalja o ovome možete naći u dokumentu koji su objavili istraživači (pdf).


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Apple zabranio aplikaciju koja pomaže korisnicima da uhode ljude koje prate na Instagramu

Apple zabranio aplikaciju koja pomaže korisnicima da uhode ljude koje prate na Instagramu

Apple je zabranio aplikaciju Like Patrol koja omogućava ljudima da prate aktivnosti drugih na Instagramu. Like Patrol je aplikacija koja je naplać... Dalje

Alijansa za odbranu aplikacija proveravaće aplikacije pre nego što budu objavljene u Play prodavnici

Alijansa za odbranu aplikacija proveravaće aplikacije pre nego što budu objavljene u Play prodavnici

Google je najavio da će udružiti snage sa kompanijama ESET, Lookout i Zimperium da bi poboljšali otkrivanje zlonamernih Android aplikacija pre neg... Dalje

Facebook tuži izraelskog proizvođača špijunskog softvera zbog hakovanja korisnika WhatsAppa

Facebook tuži izraelskog proizvođača špijunskog softvera zbog hakovanja korisnika WhatsAppa

Facebook je u utorak podneo tužbu protiv izraelske firme za nadzor mobilnih uređaja NSO Grupe, tvrdeći da je ova firma aktivno bila uključena u h... Dalje

Trojanac koji je inficirao 45000 Android uređaja ponovo se instalira nakon uklanjanja

Trojanac koji je inficirao 45000 Android uređaja ponovo se instalira nakon uklanjanja

U proteklih nekoliko meseci stotine korisnika Androida žalile su se na internetu na misteriozni malver koji se skriva na zaraženim uređajima i koji... Dalje

Google zbog malvera uklonio aplikaciju za ulepšavanje fotografija

Google zbog malvera uklonio aplikaciju za ulepšavanje fotografija

Google je iz svoje Play prodavnice aplikacija za Android uređaje uklonio aplikaciju pod nazivom Yellow Camera i druge slične aplikacije nakon što j... Dalje