Uno de los temas de interés, presentado en la Conferencia Negro Europa Sombrero 2014 realizado en Amsterdam, Países Bajos, entre 14 - 17 De octubre de este año fue cómo los hackers podrían moverse paquete Android (APK) protección de cambiar el código de entrada y salida de archivos enviar entre dispositivos con algunas restricciones en los formatos de archivo sólo.
La idea fue presentada por Axelle Apvrille, Analista Antivirus e Investigador Fortinet - una empresa de seguridad de red y Ange Albertini, una ingeniería inversa, autor de Corkami. Albertini ha desarrollado una técnica llamada AngeCryption que realmente pueden cambiar el cifrado de archivos de entrada y de salida, proporcionando así la segunda con malware. La técnica se implementa como un script en Python que está disponible para su descarga en Google Code.
Cómo funciona AngeCryption?
Lo que los dos investigadores se hizo aplicando una clave específica, utilizando AES (Advanced Encryption Standard) en CBC (Cipher Block Chaining) a modo de un archivo de entrada por lo que produce un archivo de salida deseada. Durante la demostración en la conferencia Sombrero Negro utilizaron una imagen PNG del personaje de Star Wars Anakin Skywalker como un archivo de entrada, AngeCryprion aplicada en su cifrado, y produjo una aplicación de Darth Vader mirando como una imagen así, pero que contiene el malware. La idea se presenta en Prueba de aplicación Concept en libertad después de la conferencia de los dos investigadores y han demostrado que funciona en todas las plataformas Android actuales, con lo que todos los usuarios vulnerables a ataques de hackers.
El Método DexClassLoader
Para la aplicación se instale correctamente en un dispositivo y pase desapercibida por los usuarios necesita algunos datos que se añade al final de la encriptación del archivo de salida, así. Durante su manifestación en Amsterdam Apriville y Albertini demostró que cuando la aplicación intenta instalar el archivo APK cifrado en un dispositivo Android en realidad muestra una solicitud de permiso. También se le ocurrió una manera de cómo esto podría evitarse si bien. Un archivo por lo general termina con un marcador llamado Fin del Directorio Central de (EOCD). Adición de un marcador de la misma familia después de la original engaña Android para aceptar el archivo como válida sin solicitar la instalación. El método se llama DexClassLoader.
Equipo de seguridad de Android han advertido sobre el malware y están trabajando en una solución. Aunque las actualizaciones del sistema operación son mucho más segura en estos días que hace dos o tres años, la aplicación funciona con la más nueva versión del sistema - Android 4.4.2 - Y muchos usuarios aún pueden ser vulnerables a la misma para el próximo par de años, Albertini cree.
