Kutatók egy olyan módszert találtak, amely valószínűleg minden mobilos operációs rendszeren működik, és amellyel számos alkalmazásból meg lehet szerezni a fontos személyes adatokat. Az eljárás lelke egy olyan nyilvános csatorna, ahonnan kinyerhetők a szükséges információk.
A Kaliforniai Egyetem és a Michigani Egyetem kutatói a napokban tettek közzé egy tanulmányt, melyben egy olyan sebezhetőséget mutatnak be, mely feltételezésük szerint az összes mobilos operációs rendszeren megtalálható, és amelynek segítségével az okostelefonokról megszerezhetőek a személyes információk. A szakemberek az Androidon demonstrálták a sérülékenység kihasználását, de úgy vélik, a Microsoft és az Apple rendszerén is működik, mivel az alapjellemző – vagyis hogy az alkalmazások azonos memóriaterületen osztoznak – ugyanaz mindegyiknél.
A kutatás vezetője elmondta, hogy az eddigi szakmai előfeltevés az volt, hogy a különböző alkalmazások az osztott memória segítségével nem zavarhatják egymás működését, ám nekik sikerült bebizonyítani, hogy ez nem így van, mivel az egyik segítségével befolyásolni lehet a másikat.
A demonstráción a kutatók bemutatták, hogy először a felhasználónak le kell töltenie egy ártatlannak látszó alkalmazást (pl. egy egyszerű háttérképet), amely azonban rejtve kártékony kódot tartalmaz. A szakemberek által megírt malware a telepítés után a megosztott memóriában zajló összes folyamat statisztikájához hozzáfér, ehhez ugyanis nincs szükség különleges jogosultságra (valójában ennek a nyilvános csatornának a felfedezése jelenti az igazi újdonságot). A későbbiekben a begyűjtött adatok alapján tovább figyelik a memóriában zajló folyamatokat, és összevetés segítségével össze tudják azokat kapcsolni a különféle alkalmazásokkal, amelyeket aztán próbálnak működés közben feltörni.
Két fontos feltétele van a sikeres támadásnak: pontosan akkor kell megindítani, amikor a felhasználó végrehajt valamit az adott alkalmazással, illetve a felhasználó nem sejtheti, hogy támadják – így nagyon fontos a pontos időzítés.
A tanulmány szerint a támadási módszer különösen hatékony: több népszerű mobilos alkalmazáson is kipróbálták, és a Gmail vagy egy banki alkalmazás esetében bőven 80 százalék fölötti hatékonysággal sikerült a törés, konkrétan a bejelentkezés adatok megszerzése.
A kutatók eredményeiket holnap fogják a szakmai közönségnek bemutatni a San Diegóban rendezett USENIX biztonsági konferencián.
Forrás: https://itcafe.hu/hir/okostelefon_memoria_sebezhetoseg.html