L'un des sujets intéressants, présenté sur la conférence Black Hat Europe, 2014 menée à Amsterdam, Pays-Bas, entre 14 - 17 Octobre de cette année était de savoir comment les pirates peuvent se déplacer ensemble Android (APK) protection de changer le code de fichiers entrée et de sortie envoyer entre les appareils, avec quelques restrictions sur les formats de fichiers que.
L'idée a été présentée par Axelle Apvrille, Analyste principal Antivirus et chercheur à Fortinet - une entreprise de sécurité réseau et Ange Albertini, une ingénierie inverse, auteur de Corkami. Albertini a développé une technique appelée AngeCryption qui peut réellement changer le cryptage des fichiers d'entrée et de sortie fournissant ainsi la deuxième avec des logiciels malveillants. La technique est mise en œuvre comme un script Python qui est disponible en téléchargement sur Google Code.
Comment fonctionne AngeCryption?
Qu'est-ce que les deux chercheurs a est l'application d'une clé spécifique, AES (Advanced Encryption Standard) CBC (Cipher Block Chaining) Mode d'un fichier d'entrée de sorte qu'il produit un fichier de sortie souhaitée. Lors de la manifestation sur la conférence Black Hat ils ont utilisé une image PNG du personnage de Star Wars Anakin Skywalker comme un fichier d'entrée, AngeCryprion appliquée dans son cryptage, et produit une application Darth Vader à la recherche comme une image aussi, mais contenant des logiciels malveillants. L'idée est présentée dans la preuve de l'application Concept publié après la conférence, les deux chercheurs et ils ont prouvé cela fonctionne sur toutes les plateformes Android actuelles, permettant ainsi à tous les utilisateurs vulnérables aux attaques de pirates.
La méthode DexClassLoader
Pour l'application à installer avec succès sur un dispositif et de passer inaperçu par les utilisateurs certaines données doit être ajouté à la fin du chiffrement du fichier de sortie ainsi. Au cours de leur démonstration à Amsterdam Apriville et Albertini a montré que lorsque l'application tente d'installer le fichier APK chiffré sur un périphérique Android affiche effectivement une demande d'autorisation. Ils sont également venus avec une façon de la façon dont cela pourrait être évité si. Un fichier se termine généralement par un marqueur appelé en fin de répertoire central (EOCD). Ajout d'un marqueur plus comme ceci après l'original trompe Android pour accepter le fichier en tant que valide sans demander l'installation. La méthode est appelée DexClassLoader.
Équipe de sécurité Android ont été mis en garde contre les logiciels malveillants et travaillons sur un correctif. Bien que les mises à jour du système d'exploitation sont beaucoup plus sûres de nos jours qu'il ya deux ou trois ans, l'application fonctionne avec la nouvelle version de système - Android 4.4.2 - Et de nombreux utilisateurs pourraient encore être vulnérables à lui pour les deux prochaines années, Albertini pense.
