Uno degli argomenti interessanti, presentato sul Hat Europe Conference Nero 2014 condotto in Amsterdam, Paesi Bassi, tra 14 - 17 Ottobre di quest'anno è stato come gli hacker potrebbero muoversi pacchetto Android (APK) Protezione cambiare il codice di ingresso e di uscita dei file invia tra dispositivi con alcune restrizioni sui formati di file solo.
L'idea è stata presentata da Axelle Apvrille, Senior Analyst Antivirus e Ricercatore presso Fortinet - una società di sicurezza della rete e Ange Albertini, un reverse engineering, autore di Corkami. Albertini ha sviluppato una tecnica chiamata AngeCryption che può realmente cambiare la crittografia dei file di input e di output fornendo così la seconda con il malware. La tecnica è implementato come uno script Python che è disponibile per il download su Google Code.
Come funziona AngeCryption?
Quello che i due ricercatori hanno fatto è l'applicazione di una chiave specifica, utilizzando AES (Advanced Encryption Standard) in CBC (Cipher Block Chaining) modalità di un file di input in modo che produce un file di output desiderato. Durante la manifestazione sulla conferenza Black Hat hanno usato una immagine PNG di Star Wars personaggio Anakin Skywalker come file di input, AngeCryprion applicata nella sua crittografia, e prodotto un'applicazione Darth Vader cercando come immagine pure ma contenente il malware. L'idea è presentato in Proof di applicazione Concetto rilasciata dopo la conferenza i due ricercatori e hanno dimostrato che funziona su tutte le piattaforme Android correnti, rendendo così tutti gli utenti vulnerabili hack attacchi.
Il Metodo DexClassLoader
Per l'applicazione da installare con successo su un dispositivo e di passare inosservato dagli utenti necessari alcuni dati da aggiungere alla fine della cifratura del file di output così. Durante la loro manifestazione ad Amsterdam Apriville e Albertini ha dimostrato che quando l'applicazione tenta di installare il file APK crittografato su un dispositivo Android mostra in realtà una richiesta di autorizzazione. Inoltre si avvicinò con un modo di come questo potrebbe essere evitato se. Un file di solito finisce con un marcatore chiamato End of Cartella principale (EOCD). L'aggiunta di un altro marcatore come questo dopo quella originale inganna Android per accettare il file come valido senza richiedere l'installazione. Il metodo viene chiamato DexClassLoader.
Team di sicurezza di Android sono stati avvertiti circa il malware e stanno lavorando su una correzione. Anche se gli aggiornamenti del sistema di funzionamento sono molto più sicuro in questi giorni di due o tre anni fa, l'applicazione funziona con la versione più recente del sistema - Android 4.4.2 - E molti utenti potrebbero essere ancora vulnerabili ad esso per i prossimi due anni, Albertini pensa.
