Dirty COW – это уязвимость компьютерной безопасности, которая затрагивает все системы на базе Linux, включая Android. Вот как вы можете защитить себя от нее
Обнаруженная в конце 2016 года, Dirty COW – это уязвимость компьютерной безопасности, которая затрагивает все системы на базе Linux. Удивительно то, что этот недостаток на уровне ядра существовал в ядре Linux с 2007 года, но был обнаружен и использован только в 2016 году
Сегодня мы рассмотрим, что именно представляет собой эта уязвимость, какие системы она затрагивает и как вы можете защитить себя
Что такое уязвимость Dirty Cow?
Уязвимость Dirty COW относится к типу эксплойтов повышения привилегий, что означает, что она может быть использована для получения доступа root-пользователя в любой системе на базе Linux. Хотя эксперты по безопасности утверждают, что подобные эксплойты не являются редкостью, их легкость в эксплуатации и тот факт, что они существуют уже более 11 лет, вызывают беспокойство
Линус Торвальдс признал, что обнаружил его в 2007 году, но проигнорировал, посчитав его ‘теоретическим эксплойтом’
Dirty COW получил свое название от механизма копирования при записи (COW) в системе управления памятью ядра. Вредоносные программы могут потенциально установить состояние гонки, чтобы превратить отображение файла, доступное только для чтения, в отображение, доступное для записи. Таким образом, непривилегированный пользователь может использовать этот недостаток для повышения своих привилегий в системе
Получив привилегии root, вредоносные программы получают неограниченный доступ к системе. После этого они могут изменять системные файлы, устанавливать кейлоггеры, получать доступ к личным данным, хранящимся на вашем устройстве, и т.д
Какие системы затронуты?
Уязвимость Dirty COW затрагивает все версии ядра Linux, начиная с версии 2. 6. 22, которая была выпущена в 2007 году. Согласно Википедии, уязвимость была устранена в версиях ядра 4. 8. 3, 4. 7. 9, 4. 4. 26 и более новых. Первоначально в 2016 году был выпущен патч, но он не устранил проблему полностью, поэтому в ноябре 2017 года был выпущен последующий патч
Чтобы проверить номер текущей версии ядра, вы можете использовать следующую команду в системе на базе Linux:
uname - rОсновные дистрибутивы Linux, такие как Ubuntu, Debian, ArchLinux, выпустили соответствующие исправления. Поэтому, если вы еще не сделали этого, обязательно обновите ядро Linux
Image Credit: Wikipedia.
Поскольку большинство систем уже исправлены, риск снижен, верно? Ну, не совсем
Хотя большинство основных систем уже исправлены, есть еще несколько встраиваемых устройств на базе Linux, которые все еще уязвимы. Большинство таких встроенных устройств, особенно дешевых, никогда не получают обновлений от производителей. К сожалению, вы мало что можете с этим поделать
Поэтому очень важно покупать устройства Интернета вещей (IoT) из надежных источников, которые обеспечивают надежную послепродажную поддержку
Поскольку Android основан на ядре Linux, большинство устройств на базе Android также подвержены этой проблеме
Как Dirty COW влияет на устройства Android
ZNIU – это первая вредоносная программа для Android, основанная на уязвимости Dirty COW. Она может быть использована для рутирования любых устройств Android до версии Android 7. 0 Nougat. Хотя сама уязвимость затрагивает все версии Android, ZNIU специально воздействует на устройства Android с 64-битной архитектурой ARM/X86
Согласно отчету компании Trend Micro, по состоянию на сентябрь 2017 года в мире было обнаружено более 300 000 вредоносных приложений, содержащих ZNIU. Пользователи из 50 стран, включая Китай, Индию, Японию и др.пострадали от этого вируса. Большинство из этих приложений маскируются под приложения и игры для взрослых
Как работает вредоносная программа ZNIU для Android
Приложение, пораженное ZNIU, часто появляется в виде софт-порно на вредоносных веб-сайтах, где пользователей обманом заставляют загрузить его. Поскольку Android позволяет легко загружать приложения с боковой стороны, многие начинающие пользователи попадают в эту ловушку и загружают его
Image Credit: Trend Micro.
После запуска зараженного приложения оно связывается со своим командно-контрольным (C&C) сервером. Затем оно использует уязвимость Dirty COW для предоставления себе прав суперпользователя. Хотя уязвимость не может быть использована удаленно, вредоносное приложение все равно может установить бэкдор и в будущем выполнять атаки удаленного управления
После того, как приложение получает root-доступ, оно собирает и отправляет информацию об операторе связи на его серверы. Затем оно выполняет транзакции с оператором через платежную службу на основе SMS. Затем оно собирает деньги через платежный сервис оператора. Исследователи из Trend Micro утверждают, что платежи направляются в фиктивную компанию, расположенную в Китае
Если цель находится за пределами Китая, она не сможет совершать эти микротранзакции с оператором связи, но все равно создаст бэкдор для установки других вредоносных приложений
Интересным моментом в этой вредоносной программе является то, что она совершает микро-транзакции, около $3/месяц, чтобы оставаться незамеченной. Она также достаточно умна, чтобы удалять все сообщения после завершения транзакции, что делает ее более сложной для обнаружения
Как вы можете защитить себя от ZNIU
Компания Google быстро решила эту проблему и в декабре 2016 года выпустила патч для ее устранения. Однако этот патч работал на устройствах под управлением Android 4. 4 KitKat или выше
По состоянию на январь 2018 года около 6 процентов устройств все еще работают под управлением Android версии ниже 4. 4 KitKat
Хотя это может показаться не так уж много, это все же подвергает риску достаточно большое количество людей
Если ваше устройство работает под управлением Android 4. 4 KitKat и выше, убедитесь, что у вас установлена последняя версия исправления безопасности. Чтобы проверить это, откройте Настройки > О телефоне. Прокрутите в самый низ и проверьте Уровень патча безопасности Android
Если установленный патч безопасности новее декабря 2016 года, вы должны быть защищены от этой уязвимости
Google также подтвердил, что Google Play Protect может просканировать пострадавшие приложения и помочь вам оставаться в безопасности. Но помните, что Google Play Protect требует, чтобы ваше устройство было сертифицировано для корректной работы с приложениями Google. Производители могут включать собственные приложения, такие как Google Play Protect, только после прохождения тестирования на совместимость. Хорошей новостью является то, что большинство крупных производителей сертифицированы Google. Поэтому, если только вы не приобрели действительно дешевую подделку устройства Android, беспокоиться не о чем
Хотя антивирусные приложения для Android могут обнаружить такие атаки с повышенными правами доступа, они не могут предотвратить их. Антивирусные приложения могут быть полезны для других функций, таких как защита от кражи, но в данном случае они не слишком полезны
В качестве последней меры предосторожности следует проявлять осторожность при установке приложений из неизвестных источников. В Android 8. 0 Oreo установка приложений из неизвестных источников стала немного безопаснее, но все равно следует соблюдать осторожность
Оставаться в безопасности: Основные выводы
Не секрет, что уязвимость Dirty COW затрагивает большое количество систем. К счастью, компании быстро начали действовать, чтобы контролировать ситуацию. Большинство систем на базе Linux, таких как Ubuntu, Debian и Arch-Linux, были исправлены.Google развернул Play Protect для сканирования пораженных приложений на Android
К сожалению, значительное число пользователей, использующих встроенные системы с затронутым ядром Linux, скорее всего, никогда не получат обновления безопасности, что подвергает их риску. Производители, продающие дешевые поддельные устройства Android, не сертифицированы Google, что подвергает риску их покупателей. Такие покупатели не получают обновлений безопасности, не говоря уже об обновлениях версии Android
Поэтому крайне важно воздержаться от покупки устройств таких производителей. Если у вас есть такой телефон, пора немедленно отказаться от него. Вот некоторые из лучших телефонов Android, которые не прожгут дыру в вашем кармане. Остальные должны следить за своевременной установкой обновлений и использовать здравый смысл, чтобы оставаться в безопасности в Интернете
Была ли ваша система Linux когда-либо затронута уязвимостью Dirty COW или вредоносным ПО ZNIU? Устанавливаете ли вы обновления безопасности своевременно? Поделитесь с нами своими мыслями в комментариях ниже
Комментировать