Maaf sila aktifkan javascript.

Dirty COW, Exploit Yang Terdapat Dalam Linux Kernel, Kini Mengganas Menyerang Android Bersama ZNIU

kredit gambar, XDA Developers

Assalamualaikum dan Salam Sejahtera.
Bertemu lagi kita dalam artikel mengenai Android.
Suatu ketika dahulu, pada tarikh 27/10/2016 saya ada sentuh isu ini dekat sini > OMG Hackers
Kini dia kembali, kembali bersama ZNIU. 🙈

Dirty Cow (Dirty Copy-On-Write) atau CVE-2016-5195, merupakan ralat Linux yang berusia 9 tahun yang telah dijumpai pada Oktober tahun lepas. Ia merupakan salah satu ralat yang sangat serius yang pernah ditemui dalam ralat kernel Linux dan kini bersekongkol dengan ZNIU yang ditemui dengan liar dan buas sekali. Ralat tersebut telahpun diatasi dengan patch kemaskini keselamatan Disember 2016, tapi peranti yang belum menerima lagi kemaskini keselamatan tersebut boleh terdedah dengan lembu ni. Banyak beb peranti yang boleh terdedah dengan lembu nakal ni. 😒


kredit gambar, XDA Developers

Lihat gambar di atas tu, terdapat sejumlah yang besar dari pra-Android 4.4 KitKat bila Google mula membuat patch keselamatan. Tambahan pula, mana² peranti pada Android 6.0 Marshmallow atau bawah dari tu sebenarnya berisiko untuk kena serang dengan lembu nakal ni, melainkan menerima patch keselamatan Disember 2016 atau ke atas, ataupun patch keselamatan tersebut menyatakan sasaran ralat dengan betul. Tambahan pula kecuaian dan kelalaian sesetengah pengeluar yang mengabaikan kemaskini keselamatan ni, susah nak kata la semua orang dilindungi atau tidak. Analisis oleh TrendLabs telah mendedahkan banyak maklumat mengenai ZNIU.

ZNIU, Malware Pertama yang menggunakan Dirty COW pada Android

ZNIU ni bukanlah penggunaan pertama Dirty COW pada Android ni, dan pengguna forum XDA menggunakan exploit Dirty COW ini (DirtySanta pada mulanya, tapi guna Dirty COW) untuk unlock bootloader LG V20. ZNIU ni hanyalah pengunaan pertama yang dicatat dari ralat yang digunakan untuk tujuan yang berniat jahat. 😡 Mungkin kerana aplikasi tersebut sangat kompleks dan kelihatan aktif di 40 negara dengan lebih 5,000 pengguna yang telah dijangkiti. 😱 Dia ni pandai, menyembunyikan dirinya dalam aplikasi pornografi dan permainan dan sebanyak lebih daripada 1,200 aplikasi yang terlibat.

Apa yang ZNIU Dirty COW boleh buat?

Dia boleh bertindak pada architecture ARM dan X86 64-Bit. Ehh, peranti 'bendera kapal' jangan ingat selamat ye sebab mentang² kebanyakannya architecture 64-Bit kan, melainkan peranti 'bendera kapal' tersebut menerima kemaskini patch keselamatan Disember 2016 dan ke atas. Walaubagaimana pun, mana² peranti 32-Bit mungkin juga terdedah pada lovyroot atau KingoRoot yang mana dua daripada enam rootkits ZNIU digunakan.

Kebanyakkannya muncul sebagai aplikasi aplikasi yang berkaitan dengan pornografi, tapi juga boleh didapati dalam aplikasi yang berkaitan dengan permainan. Setelah dipasang, ia akan menyemak kemaskini untuk muatan ZNIU lepas tu memulakan peningkatan keistimewaan, mendapat akses root, memintas SELinux serta memasang pintu belakang dalam sistem untuk serangan jarak jauh pada masa akan datang! Ingat, bila pintu belakang telah dipasang, macam² boleh buat beb 😓

Bagaimana Malware ZNIU Dirty COW berfungsi?

Agak mudah la bagaimana ia berfungsi, dan agak menarik dari perspektif keselamatan. Aplikasi akan muat-turun muatan tersebut semasa dijalankan dan mengekstraknya ke fail. Fail ini mengandungi semua skrip (fail ELF) yang diperlukan untuk malware berfungsi. Kemudian ia akan menulis pada virtual Dynamically Linked Shared Object (vDSO) yang biasanya merupakan mekanisma yang memberikan aplikasi pengguna (bukan-root) ruang untuk berfungsi dalam kernel. Tiada batasan SELinux dan di sini la keajaiban Dirty COW benar² berlaku. Lalu ia mewujudkan 'shell terbalik', secara ringkasnya peranti tersebut melaksanakan arahan untuk aplikasi, bukan sebaliknya. Ini membolehkan penyerang untuk mendapatkan akses ke peranti, yang mana ZNIU ni patching SELinux dan memasang pintu belakang shell root.

Apa yang dapat kita lakukan?

Apa yang boleh ampa lakukan ialah jauhkan diri dan peranti anda dari aplikasi luar Play Store tau. Google telah mengesahkan kepada TrendLab bahawa Google Play Protect sekarang dapat mengenalpasti aplikasi dalam peranti. Jadi, jika peranti anda mempunyai patch keselamatan Disember 2016 atau ke atas maka anda benar² selamat. 😘

Jika ada sebarang soalan, boleh komen di bawah atau di page OMG Hackers ya 😉
- Amir H.

Maaf artikel ini panjang sikit, meh saya belanja gambar lembu nakal lagi. 😜


Sumber,
XDA Developers
Powered by Blogger.