Linux açık kaynak kodlu bir proje olduğundan, binlerce kullanıcı aktif olarak kontrol etmeye ve düzeltmeye devam ettiğinden kaynak kodunda güvenlik açığı bulmak zor. Bu proaktif yaklaşım nedeniyle, bir hata keşfedildiğinde bile derhal yamalanır. Bu nedenle, geçen yıl 9 yıl boyunca tüm kullanıcıların titizlikle gösterdiği titizlikten kaçan bir sömürünün keşfedilmesi çok şaşırtıcıydı. Evet, doğru okudunuz, sömürü Ekim 2016'da keşfedilmesine rağmen, son 9 yıldan beri Linux çekirdek kodunda mevcuttu. Bir tür ayrıcalık yükseltme hatası olan bu tür güvenlik açığı, Kirli İnek güvenlik açığı olarak bilinir (Linux çekirdek hatası katalog numarası - CVE-2016-5195).
Bu güvenlik açığı, keşfedilmesinden bir hafta sonra Linux için yamalıysa da, tüm Android cihazlarını bu istismara karşı savunmasız bıraktı (Android, Linux çekirdeğini temel alıyor). Android ekosisteminin parçalanmış doğası nedeniyle, Aralık 2016'da takip edilen Android yaması hala güncellemeyi almayan ve savunmasız kalan birçok Android cihazdan oluşuyor. Daha da korkutucu olanı, ZNIU adlı yeni bir Android kötü amaçlı yazılımının, yalnızca birkaç gün önce Dirty Cow güvenlik açığından yararlanan keşfedilmesi. Bu makalede, Kirli İnek güvenlik açığı ve Android'de ZNIU malware tarafından nasıl kötüye kullanıldığına derinlemesine bakacağız.
Kirli İnek Güvenlik Açığı Nedir?
Yukarıda da belirtildiği gibi, Dirty Cow güvenlik açığı, herkese süper kullanıcı imtiyazı vermek için kullanılabilecek bir tür ayrıcalık yükseltme istismarıdır . Temel olarak, bu güvenlik açığını kullanarak, kötü niyetli niyetli herhangi bir kullanıcı, kendisine bir süper kullanıcı ayrıcalığı verebilir ve böylece kurbanın cihazına tam bir kök erişimi sağlayabilir. Bir kurbanın cihazına kök erişimini sağlamak, saldırgana cihaz üzerinde tam kontrol sağlar ve kullanıcı daha akıllı hale gelmeden, cihazda depolanan tüm verileri çıkarabilir.
ZNIU Nedir ve Kirli İnek Ne Yapmalı?
ZNIU, Android cihazlara saldırmak için Kirli İnek kırılganlığını kullanan ve Android için kaydedilen ilk kötü amaçlı yazılımdır. Kötü amaçlı yazılım, kurbanın cihazlarına kök erişimi sağlamak için Kirli İnek güvenlik açığını kullanır. Şu anda, kötü amaçlı yazılımın 1200'den fazla yetişkin oyununda ve pornografik uygulamada saklandığı tespit edildi. Bu makalenin yayınlandığı tarihte, 50 ülkede 5000'den fazla kullanıcının etkilendiği tespit edildi.
Hangi Android Cihazlar ZNIU'ya Hassasdır?
Kirli İnek güvenlik açığı tespit edildikten sonra (Ekim 2016), Google Aralık 2016'da bu sorunu çözmek için bir düzeltme eki yayınladı. Bununla birlikte, yama Android KitKat (4.4) veya daha yeni sürümlerde çalışan Android cihazlar için piyasaya sürüldü . Google tarafından Android işletim sistemi dağıtımının dağıldığına göre, Android akıllı telefonların% 8'inden fazlası hala Android'in daha düşük sürümlerinde çalışıyor. Android 4.4'ten Android 6.0'a (Marshmallow) çalışanlar arasında, yalnızca Aralık güvenlik düzeltme ekini aygıtları için alan ve yükleyen aygıtlar güvenlidir.
Bu, yararlanılma potansiyeline sahip bir çok Android cihazıdır. Bununla birlikte, insanlar ZNIU'nun Dirty Cow güvenlik açığının bir şekilde değiştirilmiş versiyonunu kullanması ve dolayısıyla yalnızca ARM / X86 64-bit mimarisini kullanan bu Android cihazlara karşı başarılı olduğu tespit edilmesi gerçeğini ortadan kaldırabilir. Yine de bir Android sahibiyseniz, Aralık güvenlik düzeltme ekini yükleyip yüklemediğinizi kontrol etmeniz daha iyi olur.
ZNIU: Nasıl Çalışıyor?
Kullanıcı ZNIU kötü amaçlı yazılımından etkilenen kötü amaçlı bir uygulamayı indirdikten sonra, uygulamayı başlattıklarında, ZNIU kötü amaçlı yazılımı otomatik olarak iletişim kuracak ve varsa güncelleme almak için komut ve kontrol (C&C) sunucularına bağlanacaktır . Kendini güncelledikten sonra, kurbanın cihazına kök erişimini sağlamak için ayrıcalıklı yükseliş (Dirty Cow) istismarını kullanacak. Cihaza kök erişimi olduğunda , kullanıcının bilgilerini cihazdan toplayacaktır.
Şu anda, kötü amaçlı yazılım, kullanıcının kendisi olarak poz vererek kurbanın ağ operatörüyle iletişim kurmak için kullanıcı bilgilerini kullanıyor. Kimlik doğrulaması yapıldıktan sonra, SMS tabanlı mikro işlemler gerçekleştirecek ve taşıyıcının ödeme hizmeti aracılığıyla ödeme tahsil edecektir. Kötü amaçlı yazılım, işlemler gerçekleştikten sonra tüm mesajları cihazdan silebilecek kadar akıllıdır. Dolayısıyla, mağdurun işlemler hakkında hiçbir fikri yoktur. Genellikle işlemler çok küçük miktarlarda (3 $ / ay) yapılmaktadır. Bu, saldırganın, mağdurun fon transferlerini keşfetmemesini sağlamak için aldığı bir başka önlemdir.
İşlemleri takip ettikten sonra, paranın Çin merkezli kukla bir şirkete transfer edildiği tespit edildi . Taşıyıcıya dayalı işlemlerin uluslararası para transferine yetkili olmadığından, yalnızca Çin'de etkilenen kullanıcılar bu yasadışı işlemlerden zarar görecektir. Bununla birlikte, Çin dışındaki kullanıcılar cihazlarında yüklü olan kötü amaçlı yazılımları bulundurmaya devam edecek ve bu da herhangi bir zamanda uzaktan etkinleştirilebilir ve bu da olası hedefler haline gelir. Uluslararası kurbanlar yasadışı işlemlerden muzdarip olmasalar bile, arka kapı saldırgana cihaza daha fazla zararlı kod enjekte etme şansı veriyor.
ZNIU Zararlı Yazılımlarından Kendinizi Nasıl Korursunuz?
Android cihazınızı kötü amaçlı yazılımlardan korumak için buraya tıklayarak okuyabileceğiniz bir makale yazdık. Temel olan, sağduyu kullanmak ve uygulamaları güvenilmeyen kaynaklardan yüklememektir. ZNIU kötü amaçlı yazılımları durumunda bile, kötü amaçlı yazılım geliştiricilerin yaptıkları pornografik veya yetişkin oyunları uygulamalarını yüklediklerinde kötü amaçlı yazılımın kurbanların mobil cihazlarına ulaştırıldığını gördük. Bu belirli kötü amaçlı yazılımlara karşı koruma sağlamak için cihazınızın Google’ın geçerli güvenlik düzeltme ekinde olduğundan emin olun. Bu istismar Google’ın Aralık (2016) güvenlik düzeltme ekiyle eklenmiş, bu nedenle bu düzeltme ekini yükleyen herkes ZNIU kötü amaçlı yazılımlarına karşı güvende. Yine de, OEM'inize bağlı olarak, güncelleme almamış olabilirsiniz, bu nedenle tüm risklerin farkında olmak ve gerekli önlemleri almak her zaman daha iyidir. Yine, cihazınızı bir kötü amaçlı yazılımın bulaşmasını önlemek için yapmanız gereken ve yapmamanız gereken her şey yukarıda belirtilen makalede belirtilmiştir.
Kötü Amaçlı Yazılımdan Etkilenmemek için Androidinizi Koruyun
Son birkaç yıl, Android'de malware saldırılarında bir artış gördü. Kirli İnek güvenlik açığı, bugüne kadar keşfedilen en büyük istismarlardan biriydi ve ZNIU'nun bu güvenlik açığından nasıl yararlanıldığını görmek korkunçtu. ZNIU, etkilediği cihazların boyutu ve saldırgana sağladığı kontrolsüz kontrolü nedeniyle özellikle endişe vericidir. Ancak, sorunların farkındaysanız ve gerekli önlemleri alırsanız, cihazınız potansiyel olarak tehlikeli saldırılara karşı güvende olacaktır. Bu nedenle, önce Google’ın en son güvenlik düzeltme eklerini aldığınız anda güncellediğinizden emin olun ve ardından güvenilmeyen ve şüpheli uygulamalardan, dosyalardan ve bağlantılardan uzak durun. Birinin cihazını zararlı yazılımlara karşı korumak için ne yapması gerektiğini düşünüyorsun? Konuyla ilgili düşüncelerinizi aşağıdaki yorumlar bölümünde bırakarak bize bildirin.