Різне

Служба вірусного моніторингу Dr.Web

21.02.2017

Extra Field

Extra Field — це уразливість в Google Android, що дозволяє зловмисникам змінювати вміст інсталяційного пакету програми для цієї ОС, не пошкодивши його підпис. За допомогою даної уразливості вірусописьменники можуть поширювати троянські програми, впровадивши шкідливий компонент у будь-який легітимний або довірена додаток.

Антивірус Dr.Web для Android не може ліквідувати дану уразливість, оскільки вона виявляється на рівні самої операційної системи, однак успішно визначає і видаляє поширюються з її допомогою шкідливі програми ще при спробі їх проникнення і запуску на закритому пристрої.

Технічні подробиці

Дистрибутиви програм для операційної системи Google Android поширюються у вигляді .APK-файлів, що представляють собою ZIP-архів, у якому містяться всі необхідні для роботи програми компоненти. У процесі установки програми вони витягуються з архіву та їх контрольні суми перевіряються за спеціальним списком. Кожна програма має цифровий підпис.

Використовуючи уразливість Extra Field. зловмисники можуть змінити структуру АПК-архіву: при додаванні в його службове поле значення одного з оригінальних компонентів програми (зокрема, файлу classes.dex) без трьох перших байт з одночасним розміщенням на його місці модифікованої версії цього файлу, остання сприймається операційною системою як легітимна і допускається до установки. Незважаючи на те, що потенційне використання цієї проблеми була обмежена розміром dex-файлу, який повинен складати не більше 65 533 байт, зацікавлені в атаці кіберзлочинці цілком можуть без праці їй скористатися, взявши за основу нешкідливу програму або гру, що має компонент відповідного розміру.

Файл classes.dex містить скомпільований код додатка всередині APK-файлу. Заголовок APK-пакети включає деякий простір, в якому зберігається ім’я файлу з розширенням .dex, а також поле, званим extra field, в якому зберігається саме вміст файлу classes.dex і список використовуваних додатком класів. Якщо поле заголовка скорочується на три байти, змінюється значення довжини відповідного поля, що дозволяє зловмисникам включити в extra field оригінальний classes.dex, а також шкідливу копію цього файлу, частина якого також буде розміщуватися в extra field. Видозмінене поле може містити створені зловмисниками класи, що несуть шкідливу функціональне навантаження. При установці додатка операційна система читає вміст цього поля, в результаті чого на це пристрій встановлюється модифікований зловмисниками файл classes.dex.

Короткий опис статті: classes dex «Доктор Веб» – російський розробник антивірусних програм і сервісів для надання послуг інформаційного захисту для корпоративних і приватних користувачів.

Джерело: Служба вірусного моніторингу Dr.Web

Також ви можете прочитати