Πως να κάνετε hacking στο Gmail

Αμερικανοί ερευνητές ανακάλυψαν ένα ελάττωμα που υπάρχει στα λειτουργικά συστήματα Android, Windows και iOS και θα μπορούσε να επιτρέψει πρόσβαση σε δημοφιλείς υπηρεσίες όπως το Gmail.

hack gmail

Εμπειρογνώμονες ασφαλείας από το California Riverside Bourns of Engineering και το University of Michigan εντόπισε μια αδυναμία που πιστεύεται ότι υπάρχει σε όλα τα παραπάνω λειτουργικά συστήματα, και η οποίο θα μπορούσε να επιτρέψει επιθέσεις σε ευαίσθητα δεδομένα από κακόβουλες εφαρμογές.

Η αδυναμία ελέγχθηκε μέσω ενός Android smartphone, αλλά οι ερευνητές ισχυρίζονται ότι η μέθοδος θα μπορούσε να χρησιμοποιηθεί και σε όλες τις άλλες πλατφόρμες – καθώς κάθε έχει ένα παρόμοιο χαρακτηριστικό: τη δυνατότητα των εφαρμογών να έχουν πρόσβαση στη κοινόχρηστη μνήμη της κινητής ς. Ωστόσο, οι ερευνητές δεν έχουν πραγματοποιήσει δοκιμές σε άλλα συστήματα.

Η επίθεση μπορεί να πραγματοποιηθεί με την χρήση μιας φαινομενικά ακίνδυνης εφαρμογής, όπως για την αλλαγή ταπετσαρία φόντου. Μετά την εγκατάσταση της, οι ερευνητές ήταν σε θέση να πραγματοποιήσουν exploit σε μια ευπάθεια που αναλήφθηκε πρόσφατα στο κανάλι της κοινόχρηστης μνήμης μιας διαδικασίας, η οποία για να προσεγγιστεί δεν χρειάζεται δικαιώματα ή προνόμια η εφαρμογή.

Μετά από την πρόσβαση τους, αρχίζουν να παρακολουθούν τις αλλαγές στο εσωτερικό της κοινόχρηστης μνήμης. Οι αλλαγές αυτές συνδέονται με αυτό που η ομάδα των ερευνητών ονομάζει σαν “δραστηριότητα μετάβασης” ή “activity transition event.” Με άλλα λόγια, όταν ένας μια εφαρμογή, για παράδειγμα, για να συνδεθεί στο Gmail ή να τραβήξει μια φωτογραφία, οι αλλαγές των δραστηριοτήτων σημειώνονται.

Υπάρχουν δύο στάδια στην επίθεση αυτή: στο πρώτο, η επίθεση πρέπει να γίνει σε πραγματικό χρόνο, δηλαδή τη στιγμή που ο χρήστης συνδέεται στο Gmail. Στο δεύτερο στάδιο, το hack θα πρέπει να γίνει με τέτοιο τρόπο ούτως ώστε να μη ανιχνευτεί από τον χρήστη – κάτι το οποίο μπορεί να επιτευχθεί με ένα καλό timing.

Η μέθοδος δοκιμάστηκε με επιτυχία σε εφαρμογές όπως το Gmail, Chase Bank και τη H & R Block.

Επιθέσεις στο Gmail ήταν επιτυχής κατά 92%, όπως και οι επιθέσεις στο H & R Block. Οι πιθέσεις που πραγματοποιήθηκαν στις εφαρμογές Chase, Newegg, WebMD και Hotels.com ήταν επιτυχείς κατά 83%.

Μια δύσκολη εφαρμογή ήταν η εφαρμογή του Amazon, με ποσοστό επιτυχίας 48%.
Ο Zhiyun Qian, αναπληρωτής καθηγητής στο UC Riverside ανέφερε στο ZDNet:

“Από τη σχεδίαση του, το Android επιτρέπει σε εφαρμογές να προσπελαστούν ή να γίνουν hijacked. Αλλά το θέμα είναι ότι πρέπει να το κάνετε τη σωστή στιγμή έτσι ώστε ο χρήστης να μην το παρατηρήσει. Εμείς κάνουμε ακριβώς αυτό και είναι κάτι που κάνει την επίθεση μας μοναδική.”

Qian υποδηλώνει ότι οι χρήστες “δεν εγκαταστήσετε untrusted εφαρμογές,” και για τους προγραμματιστές, ο ερευνητής λέει ότι μια πιο προσεκτική αντίστροφη σχέση μεταξύ της ασφάλειας και της λειτουργικότητας θα πρέπει να οριστεί σε πέτρα.

Η εργασία τους με τίτλο, “Peeking into Your App without Actually Seeing It: UI State Inference and Novel Android Attacks,” (.PDF) θα παρουσιαστεί σήμερα 22 Αυγούστου στο USENIX Security Symposium στο San Diego. Δείτε το βίντεο από μία από τις επιθέσεις.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).