Um dos tópicos interessantes, apresentado na Black Hat Europe Conference 2014 conduzido em Amsterdam, Os Países Baixos, entre 14 - 17 Outubro deste ano foi como os hackers conseguiram contornar o pacote Android (APK) proteção alterando o código de entrada e saída de arquivos enviados entre dispositivos com algumas restrições apenas nos formatos de arquivo.
A ideia foi apresentada por Axelle Apvrille, Analista e Pesquisador Sênior de Antivírus na Fortinet – empresa de segurança de rede e Ange Albertini, um engenheiro reverso, autor de Corkami. Albertini desenvolveu uma técnica chamada AngeCryption que pode realmente alterar a criptografia de arquivos de entrada e saída, fornecendo malware ao segundo. A técnica é implementada como um script Python que está disponível para download no Google Code.
Como funciona o AngeCryption?
O que os dois pesquisadores fizeram foi aplicar uma chave específica, usando AES (Advanced Encryption Standard) em CBC (Cipher Block encadeamento) mode para um arquivo de entrada para que produza um arquivo de saída desejado. Durante a demonstração na conferência Black Hat, eles usaram uma imagem PNG do personagem de Star Wars Anakin Skywalker como arquivo de entrada, aplicou o AngeCryprion em sua criptografia, e produziu um aplicativo Darth Vader que também parece uma imagem, mas contém malware. Toda a ideia é apresentada no aplicativo Proof of Concept dos dois pesquisadores lançado após a conferência e eles provaram que funciona em todas as plataformas Android atuais, tornando assim todos os usuários vulneráveis a ataques de hack.
O método DexClassLoader
Para que o aplicativo seja instalado com sucesso em um dispositivo e passe despercebido pelos usuários, alguns dados precisam ser adicionados ao final da criptografia do arquivo de saída. Durante sua demonstração em Amsterdã, Apriville e Albertini mostraram que, quando o aplicativo tenta instalar o arquivo APK criptografado em um dispositivo, o Android realmente exibe uma solicitação de permissão. Eles também criaram uma maneira de como isso poderia ser evitado, embora. Um arquivo geralmente termina com um marcador chamado End of Central Directory (EOCD). Adicionar mais um marcador como este após o original induz o Android a aceitar o arquivo como válido sem solicitar a instalação. O método é chamado DexClassLoader.
A equipe de segurança do Android foi avisada sobre o malware e está trabalhando em uma correção. Embora as atualizações do sistema operacional sejam muito mais seguras hoje em dia do que há dois ou três anos, o aplicativo funciona com a versão mais recente do sistema – Android 4.4.2 – e muitos usuários ainda podem estar vulneráveis a ele nos próximos dois anos, Albertini pensa.
