Een van de interessante onderwerpen, gepresenteerd op de Black Hat Europe conferentie 2014 uitgevoerd in Amsterdam, De Nederland, tussen 14 - 17 Oktober van dit jaar was hoe hackers rond Android-pakket kon krijgen (APK) bescherming van het veranderen van de input en output-code van bestanden te versturen tussen apparaten met een paar beperkingen op de bestandsformaten alleen.
Het idee werd gepresenteerd door Hendrik-Jan Heins, Senior Antivirus analist en onderzoeker bij Fortinet - een netwerk security bedrijf en Ange Albertini, een reverse engineeren, auteur van Corkami. Albertini heeft een techniek genaamd AngeCryption die daadwerkelijk kan veranderen de versleuteling van input en output-bestanden zorgt hierdoor voor de tweede met malware ontwikkeld. De techniek is geïmplementeerd als een Python-script dat beschikbaar is voor download op Google Code.
Hoe AngeCryption werken?
Wat de twee onderzoekers deden is de toepassing van een specifieke toets, met behulp van AES (Advanced Encryption Standard) in CBC (Cipher block chaining) mode om een input-bestand, zodat het een gewenste output bestand produceert. Tijdens de demonstratie op de Black Hat-conferentie een PNG-afbeelding van het Star Wars personage Anakin Skywalker gebruikt ze als een input-bestand, toegepaste AngeCryprion in zijn encryptie, en produceerde een Darth Vader applicatie kijkt als beeld ook, maar bevat malware. Het hele idee is gepresenteerd in Proof of Concept applicatie vrijgegeven na de conferentie de twee onderzoekers 'en ze hebben bewezen het werkt op alle huidige Android-platforms, waardoor alle gebruikers kwetsbaar voor aanvallen hacken.
De DexClassLoader Methode
Ten einde de toepassing voor het installeren op een apparaat en onopgemerkt door de gebruikers bepaalde gegevens moeten worden toegevoegd aan het einde van de codering van het uitvoerbestand ook. Tijdens hun demonstratie in Amsterdam Apriville en Albertini toonde aan dat wanneer de toepassing probeert om de gecodeerde APK bestand installeren op een apparaat Android toont eigenlijk een verzoek om toestemming. Ze kwam ook met een manier van hoe dit wel zou kunnen worden vermeden. Een bestand dat eindigt meestal met een marker genaamd End of Central Directory (EOCD). Het toevoegen van nog een marker als dit na het origineel misleidt Android om het bestand als een geldig aanvaarden zonder daarvoor installatie. De methode heet DexClassLoader.
Android security team zijn gewaarschuwd over de malware en werken aan een oplossing. Hoewel de werking van het systeem updates zijn veel meer veilig deze dagen dan twee of drie jaar geleden, de applicatie werkt met het systeem nieuwste versie - Android 4.4.2 - En veel gebruikers kunnen nog steeds kwetsbaar voor het voor de komende jaren, Albertini denkt.
