En af de interessante emner, præsenteres på Black Hat Europe-konferencen 2014 udført i Amsterdam, Holland, mellem 14 - 17 Oktober i år var, hvordan hackere kunne komme rundt Android-pakke (APK) beskyttelse ændre input og output kode filer sende mellem enheder med et par begrænsninger på de filformater kun.
Ideen blev præsenteret af Axelle Apvrille, Senior Antivirus Analytiker og forsker ved Fortinet - et netværk vagtselskab og Ange Albertini, en reverse engineering, Forfatteren af Corkami. Albertini har udviklet en teknik kaldet AngeCryption, som rent faktisk kan ændre kryptering af input og output-filer giver således den anden med malware. Teknikken er implementeret som et Python-script, som er tilgængelig for download på Google Code.
Hvordan AngeCryption værker?
Hvad de to forskere gjorde anvender en bestemt nøgle, med AES (Advanced Encryption Standard) i CBC (Blokkædnings) tilstand til en input-fil, så den producerer et ønsket output-fil. Under demonstrationen på konferencen Black Hat de brugte et PNG billede af Star Wars karakter Anakin Skywalker som input fil, anvendt AngeCryprion i sin kryptering, og produceret en Darth Vader ansøgning ser som et billede så godt, men som indeholder malware. Hele ideen er præsenteret i de to forskeres Proof of Concept ansøgning frigivet efter konferencen, og de har bevist det virker på alle nuværende Android-platforme, og dermed gøre alle brugere sårbare at hacke angreb.
Den DexClassLoader Method
For programmet kan installeres på en enhed, og at gå ubemærket af brugerne nogle data skal føjes til slutningen af kryptering af uddatafilen samt. Under deres demonstration i Amsterdam Apriville og Albertini viste, at når programmet forsøger at installere den krypterede APK fil på en enhed Android faktisk viser en anmodning om tilladelse. De kom også op med en måde for, hvordan dette kan undgås selv. En fil som regel ender med en markør kaldet End of Central firmavejviser (EOCD). Tilføje endnu markør som denne efter den oprindelige vildleder Android til at acceptere filen som en gyldig uden at anmode om installation. Metoden kaldes DexClassLoader.
Android sikkerhed hold er blevet advaret om malware og arbejder på en rettelse. Selv om operationen system opdateringer er meget mere sikker i disse dage end to eller tre år siden, programmet virker med systemets nyeste version - Android 4.4.2 - Og mange brugere kan stadig være sårbar over for det for de næste par år, Albertini tænker.