Mobilne aplikacije je lako hakovati, a najlakše je hakovati Gmail, tvrde istraživači

Mobilni telefoni, 26.08.2014, 09:07 AM

Grupa istraživača sa Univerziteta Kalifornija i Univerziteta Mičigen otkrila je ranjivost, za koju istraživači veruju da postoji u Android, Windows i iOS platformi, koju hakeri mogu iskoristiti da bi došli do ličnih podataka korisnika pomoću malicioznih aplikacija.

Istraživači su otkrili način za hakovanje popularnih aplikacija za smart telefone, uključujući i Gmail za koji se ispostavilo da je jedna od aplikacija koju je najlakše hakovati, sa procentom uspešnosti od 92%.

Napad je testiran na Android telefonu (Samsung Galaxy S3), ali istraživači veruju da bi napad funkcionisao i na drugim mobilnim operativnim sistemima.

Najteže je bilo hakovati Amazon, kod koga je zabeležen procent uspešnosti od 48%.

Napad podrazumeva pristupanje deljenoj memoriji smart telefona uz pomoć zlonamernog programa maskiranog u naizgled bezopasnu aplikaciju, kao što je na primer aplikacija za menjanje pozadina.

Sve aplikacije koriste deljenu memoriju. Analizirajući je, istraživači su bili u stanju da otkriju kada se korisnik prijavljivao na aplikacije kao što je Gmail što im omogućilo da dođu do korisničkih imena i lozinki iz aplikacija.

“Pretpostavka je uvek bila da se ove aplikacije ne mogu mešati međusobno”, kažu istraživači. “Mi smo dokazali da takva pretpostavka nije tačna, i da jedna aplikacija ustvari može značajno uticati na drugu i dovesti do štetnih posledica za korisnika.”

Da bi demonstrirali svoje otkriće, istraživači su instalirali nepotpisanu aplikaciju za menjanje pozadina na telefonu koja je sadržala maliciozni kod. Kada napadač instalira takvu aplikaciju, on je može koristiti za pristup ulaznoj tački koju istraživači nazivaju “slivnik deljene memorije” koji postoji u skoro svim popularnim GUI (Graphical User Interface), a ne zahteva neke specijalne privilegije.

Nadgledajući promene u deljenoj memoriji, istraživači su bili u mogućnosti da utvrde, na primer, kada se korisnik prijavljivao na Gmail ili da uz pomoć kamere uređaja fotografišu čekove kojima plaćaju korisnici aplikacije Chase Bank. Među aplikacijama koje su hakovali istraživači su i H&R Block, Newegg, WebMD, Hotels.com i Amazon.

Da bi napad bio uspešan neophodno je da budu ispunjena dva uslova: najpre, da se napad izvede tačno u momentu kada korisnik obavlja aktivnost, i drugo, da napad bude izveden na takav način da korisnik ne zna za to.

Istraživanje je predstavljeno na konferenciji USENIX u San Dijegu 23. avgusta. Više detalja o ovome možete naći u dokumentu koji su objavili istraživači (pdf).