Assalamualaikum dan Salam Sejahtera.
Bertemu lagi kita dalam artikel mengenai Android.
Suatu ketika dahulu, pada tarikh
27/10/2016 saya ada sentuh isu ini dekat sini >
OMG Hackers
Kini dia kembali, kembali bersama ZNIU. ?
Dirty Cow (Dirty Copy-On-Write) atau CVE-2016-5195, merupakan ralat Linux yang berusia 9 tahun yang telah dijumpai pada Oktober tahun lepas. Ia merupakan salah satu ralat yang sangat serius yang pernah ditemui dalam ralat kernel Linux dan kini bersekongkol dengan ZNIU yang ditemui dengan liar dan buas sekali. Ralat tersebut telahpun diatasi dengan patch kemaskini keselamatan Disember 2016, tapi peranti yang belum menerima lagi kemaskini keselamatan tersebut boleh terdedah dengan lembu ni. Banyak beb peranti yang boleh terdedah dengan lembu nakal ni. ?
Lihat gambar di atas tu, terdapat sejumlah yang besar dari
pra-Android 4.4 KitKat bila
Google mula membuat patch keselamatan. Tambahan pula, mana² peranti pada
Android 6.0 Marshmallow atau
bawah dari tu sebenarnya
berisiko untuk kena serang dengan lembu nakal ni, melainkan
menerima patch keselamatan Disember 2016 atau ke atas, ataupun
patch keselamatan tersebut menyatakan sasaran ralat dengan betul. Tambahan pula
kecuaian dan kelalaian sesetengah pengeluar yang
mengabaikan kemaskini keselamatan ni, susah nak kata la semua orang dilindungi atau tidak. Analisis oleh
TrendLabs telah mendedahkan banyak maklumat mengenai
ZNIU.
ZNIU, Malware Pertama yang menggunakan Dirty COW pada Android
ZNIU ni bukanlah penggunaan pertama Dirty COW pada Android ni, dan pengguna forum XDA menggunakan exploit Dirty COW ini (DirtySanta pada mulanya, tapi guna Dirty COW) untuk unlock bootloader LG V20. ZNIU ni hanyalah pengunaan pertama yang dicatat dari ralat yang digunakan untuk tujuan yang berniat jahat. ? Mungkin kerana aplikasi tersebut sangat kompleks dan kelihatan aktif di 40 negara dengan lebih 5,000 pengguna yang telah dijangkiti. ? Dia ni pandai, menyembunyikan dirinya dalam aplikasi pornografi dan permainan dan sebanyak lebih daripada 1,200 aplikasi yang terlibat.
Apa yang ZNIU Dirty COW boleh buat?
Dia boleh bertindak pada architecture ARM dan X86 64-Bit. Ehh, peranti ‘bendera kapal’ jangan ingat selamat ye sebab mentang² kebanyakannya architecture 64-Bit kan, melainkan peranti ‘bendera kapal’ tersebut menerima kemaskini patch keselamatan Disember 2016 dan ke atas. Walaubagaimana pun, mana² peranti 32-Bit mungkin juga terdedah pada lovyroot atau KingoRoot yang mana dua daripada enam rootkits ZNIU digunakan.
Kebanyakkannya muncul sebagai aplikasi aplikasi yang berkaitan dengan pornografi, tapi juga boleh didapati dalam aplikasi yang berkaitan dengan permainan. Setelah dipasang, ia akan menyemak kemaskini untuk muatan ZNIU lepas tu memulakan peningkatan keistimewaan, mendapat akses root, memintas SELinux serta memasang pintu belakang dalam sistem untuk serangan jarak jauh pada masa akan datang! Ingat, bila pintu belakang telah dipasang, macam² boleh buat beb ?
Bagaimana Malware ZNIU Dirty COW berfungsi?
Agak mudah la bagaimana ia berfungsi, dan agak menarik dari perspektif keselamatan. Aplikasi akan muat-turun muatan tersebut semasa dijalankan dan mengekstraknya ke fail. Fail ini mengandungi semua skrip (
fail ELF) yang diperlukan untuk malware berfungsi. Kemudian ia akan menulis pada
virtual Dynamically Linked Shared Object (
vDSO) yang biasanya merupakan mekanisma yang memberikan aplikasi pengguna (bukan-
root) ruang untuk berfungsi dalam kernel. Tiada batasan SELinux dan di sini la keajaiban
Dirty COW benar² berlaku. Lalu ia mewujudkan ‘
shell terbalik‘, secara ringkasnya peranti tersebut melaksanakan arahan untuk aplikasi, bukan sebaliknya. Ini membolehkan penyerang untuk mendapatkan akses ke peranti, yang mana
ZNIU ni patching SELinux dan
memasang pintu belakang shell root.
Apa yang dapat kita lakukan?
Apa yang boleh ampa lakukan ialah
jauhkan diri dan peranti anda dari aplikasi luar Play Store tau.
Google telah mengesahkan kepada
TrendLab bahawa
Google Play Protect sekarang dapat mengenalpasti aplikasi dalam peranti. Jadi, jika peranti anda
mempunyai patch keselamatan Disember 2016 atau ke atas maka anda
benar² selamat. ?
Jika ada sebarang soalan, boleh komen di bawah atau di page OMG Hackers ya ?
– Amir H.
Maaf artikel ini panjang sikit, meh saya belanja gambar lembu nakal lagi. ?
Sumber,
XDA Developers
