21 Android víruskereső alkalmazást teszteltünk és találtunk ezeket a súlyos sebezhetőségeket

21 Android víruskereső alkalmazást teszteltünk és találtunk ezeket a súlyos sebezhetőségeket


Az Comparitech heteket töltött népszerű Android víruskereső alkalmazások tesztelésén. Hiányokat kerestünk abban, ahogyan az egyes gyártók kezelik az adatvédelmet, a biztonságot és a reklámozást. Az eredmények nyitva álltak.

Sok esetben nem kapod meg azt, amit a Play Áruházban ígértek. Sok alkalmazás nem tudja pontosan felfedezni a vírust. Szinte mindegyik követ téged. És néhány maroknyi súlyos biztonsági hibát találtunk, köztük egy kritikus sebezhetőséget, amely a felhasználó címjegyzékét felfedte, és egy olyan, amely lehetővé tette a támadók számára, hogy teljes mértékben kikapcsolják a vírusvédelmet..

Android antivírus teszt eredményei

A Comparitech vezető biztonsági kutatója, Khaled Sakr, felelős az aktív tesztelésért. Magát az alkalmazást, annak hatékonyságát, a webkezelő irányítópultot és az összes érintett háttér-szolgáltatást áttekintette. Megvizsgáltuk az egyes mobil víruskereső alkalmazásokba ágyazott veszélyes engedélyeket és nyomkövetőket is.

A tesztelés

2019. június közepén a következő 21 Android víruskereső gyártót vizsgáltuk meg:

VendorPlay Store azonosító
AEGISLAB Antivirus Free com.aegislab.sd3prj.antivirus.free
Malwarebytes biztonság: vírustisztító, rosszindulatú programok org.malwarebytes.antimalware
AVL Pro Antivirus & Biztonság com.antiy.avlpro
APUS biztonság - tiszta vírus, antivírus, Booster com.guardian.security.pri
Brainiacs Antivirus System com.antivirussystemforandroid.brainiacs.googleplay
BullGuard Mobile Security és Antivirus com.bullguard.mobile.mobilesecurity
Telefontisztító phone.cleaner.speed.booster.cache.clean.android.master
Comodo Free Antivirus, VPN és mobilbiztonság com.comodo.cisme.antivirus
Emsisoft Mobile Security com.emsisoft.security
ESET mobil biztonság & Antivirus com.eset.ems2.gp
Dr.Capsule - Antivírus, Tisztító, Booster com.estsoft.alyac
Fotoable Antivirus & Tisztító com.fotoable.cleaner
NQ mobil biztonság & Antivirus Free com.nqmobile.antivirus20
Zemana Antivirus & Biztonság com.zemana.msecurity
MalwareFox Anti-Malware com.malwarefox.antimalware
Antivirus Mobile - tisztább, telefonvírus-szkenner com.taptechnology.antivirus.mobile
dfndr biztonság: antivírus, anti-hackelés & tisztító com.psafe.msuite
Privacy Lab Antivirus & Mobilbiztonság com.secore.privacyshield
Webroot üzleti biztonság com.webroot.security.sme
VIPRE mobilbiztonság com.ssd.vipre
V3 mobilbiztonság com.ahnlab.v3mobilesecurity.soda

A tesztelt alkalmazások közül háromban komoly biztonsági hibákat találtunk, és nyolc olyan alkalmazást találtunk, amelyek nem tudtak felismerni egy tesztvírust. Összességében a tesztelt gyártók 47% -a valamilyen módon kudarcot vallott.

Jegyzet: Magánélet Lab Antivirus & Az Mobile Security azóta eltávolításra került a Play Áruházból

Biztonság

Hibát konfigurált webszolgáltatásokat találtunk, amelyek három különálló víruskereső szolgáltatót érintnek:

Szállítói biztonsági rés pontszáma
VIPRE IDOR - A prémium szintű felhasználók, akiknek engedélyezve vannak a címjegyzék szinkronizálása, fennáll annak a veszélye, hogy kapcsolataikat ellopják Kritikai
VIPRE IDOR - Minden felhasználó sebezhető volt a hamis antivírus riasztásokat küldő támadóktól Komoly
BullGuard IDOR - Minden felhasználó sebezhető volt a támadók ellen, akik távolról letilthatják vírusvédelmüket Komoly
BullGuard XSS - A BullGuard webhelyének felhasználóit annak veszélye fenyegeti, hogy a támadók rosszindulatú kódot helyeznek be egy érzékeny szkript miatt Komoly
AEGISLAB XSS - Az AEGISLAB web irányítópultjának veszélyét a támadók veszélyeztetett szkript miatt rosszindulatú kód beillesztésével fenyegetették. Komoly

A VIPRE Mobile, az AEGISLAB és a BullGuard mindegyikének volt olyan hibája, amely veszélybe sodorta a felhasználók adatvédelmét és biztonságát. Ebben az esetben mindhárom gyártó júniusban és júliusban dolgozott velünk, hogy javítsuk az alkalmazásuk hibáit, mielőtt ezt a jelentést közzétettük. Megerősíthetjük, hogy az összes sebezhetőség javításra került.

Teljesítmény

Azt találtuk, hogy a következő mobil víruskereső alkalmazások nem tudtak kimutatni a veszélyes tesztvírust:

  • AEGISLAB Antivirus Free
  • Antiy AVL Pro Antivirus & Biztonság
  • Brainiacs Antivirus System
  • Fotoaktív szupertisztító
  • MalwareFox Anti-Malware
  • NQ mobil biztonság & Antivirus Free
  • Koppintson a Technology Antivirus Mobile elemre
  • Zemana Antivirus & Biztonság

A Metasploit hasznos teherével megpróbáltunk egy fordított burkolatot kinyitni az eszközön zavarás nélkül. Éppen ehhez a fajta teszteléshez készült. Minden Android víruskereső alkalmazásnak képesnek kell lennie arra, hogy észlelje és leállítsa a kísérletet.

Magánélet

Az Exodus mobil adatvédelmi adatbázisából származó információkat felhasználtuk a veszélyes engedélyek és reklámkövetők keresésére. Íme, amit találtunk:

A mobilhirdetések hatalmas üzlet, és az eladók sok pénzt kereshetnek célzott hirdetések megjelenítésével. De ahhoz, hogy megcélozzák őket, a hirdetőknek információra van szükségük a felhasználók személyes szokásairól és preferenciáiról. Így a nyomkövetők információkat küldnek a böngészésről és a keresési előzményekről a hirdetőknek, akik azt mobilhirdetések célzására és megjelenítésére használják.

21 Android víruskereső alkalmazást teszteltünk és találtunk ezeket a súlyos sebezhetőségeket

Elemzésünkben a dfndr security több hirdetési nyomkövetőt használt, mint bármely más ingyenes antivírus megoldás. Az alkalmazásban említett hirdetési nyomkövetők nagy száma lenyűgöző. Amennyire meg tudjuk mondani, a dfndr szinte minden hirdetési csereprogramot felhasznál a célzott hirdetések megjelenítésére.

A dfndr emellett engedélyt kér a finom helyadatok eléréséhez, a kamera eléréséhez, a névjegyek olvasásához és írásához, a címjegyzék átnézéséhez, valamint az eszköz IMEI (egyedi azonosítója) és telefonszámának megkönnyítéséhez..

A VIPRE Mobile kudarcai

Két sérülékenységet találtunk, egy kritikus és egy súlyos, amelyet a VIPRE-nek közöltünk. Velünk együtt dolgoztak egy javítás végrehajtásában, és megerősíthetjük a biztonsági réseket, hogy javításra kerültek.

A VIPRE Mobile kiszivárogtatta a felhasználói címjegyzékeket

Az online irányítópulton felfedeztük, hogy a támadók hozzáférhetnek a VIPRE Mobile felhasználók címjegyzékéhez, ha a felhőszinkronizálás engedélyezve van. A koncepciók bizonyítéka és az alkalmazás népszerűsége alapján becslések szerint több mint egymillió kapcsolattartó ült az interneten nem biztonságosan.

21 Android víruskereső alkalmazást teszteltünk és találtunk ezeket a súlyos sebezhetőségeket

A hibát a meghibásodott vagy rosszul végrehajtott hozzáférés-vezérlés okozta, amely bizonytalan közvetlen objektum-referencia (IDOR) biztonsági résként jelentkezik a VIPRE Mobile hátterében. A felelős szkript csak akkor ellenőrizte, hogy a támadó be van-e jelentkezve. Nem végeztek további ellenőrzéseket annak biztosítása érdekében, hogy a kérést a megfelelő eszköz vagy fiók teljesítse..

android víruskereső alkalmazás vipre mobil adat szivárgásA VIPRE figyelmen kívül hagyása a személyek millióinak személyes adatait veszélyezteti, szinte mindegyikük a VIPRE Mobile felhasználói barátai és munkatársai

A biztonsági rés kihasználásával az ellenfél minden felhasználói fiókon átkerülhet, és névjegyeit VCARD formátumban töltheti le. Számos kiszivárgott névjegyzék teljes neveket, fényképeket, címeket és jegyzeteket tartalmaz érzékeny személyes adatokkal.

A VIPRE vírusjelzései könnyen hamisíthatók

A vírusriasztások a VIPRE mobiltelefonban is könnyen hamisítottak. Hasonló IDOR-biztonsági rést találtunk, amely befolyásolja a vírusriasztások jelentésének és megjelenítésének módját. Ennek a sebezhetőségnek a kihasználásával küldjünk teljesen hamis vírusjelzéseket minden érvényes felhasználóval rendelkező felhasználó számára.

víruskereső alkalmazás vipre riasztásaTréviális volt a csaló figyelmeztetések generálása és a gyanútlan felhasználóknak küldése. Azt találtuk, hogy szerkeszthetjük a riasztási kérelem mezőit, hogy bármit megmondjunk

A hamis riasztásokat úgy tudtuk eljuttatni, hogy elfoglalták a vírus megtalálásakor generált kérelmet, majd manipulálták a felhasználói azonosító és egyéb paraméterek megváltoztatására irányuló kérelmet. Az eredmény egy teljesen valós vírusjelzés, amely az áldozat VIPRE Mobile műszerfalán jelenik meg.

Hiányozott a VIPRE hozzáférés-vezérlése

A VIPRE Mobile biztonságos biztonsági másolatot ígér a személyes adataival kapcsolatban, de az nem történt meg a közelben. Megdöbbentő volt a hatékony hozzáférés-ellenőrzés hiánya. Választhatóan hozzáférhetünk mélyen magáninformációkhoz, és hamis rosszindulatú riasztásokat küldhetünk minden érvényes fiókra.

"Ez a két VIPRE sebezhetőség a legkritikusabb, amit találtam" - mondja Khaled. "Ezek mind az alkalmazás adatvédelmét, mind integritását érintik. A VIPRE-nek el kell kezdenie a rendszeres penetrációs tesztet minden alkalmazásukon. ”

Az AEGISLAB nem zárolta le az irányítópultot

Felfedtünk egy komoly sebezhetőséget, amely az AEGISLAB webszolgáltatásait sújtotta. Velünk együtt dolgoztak a probléma megoldásában, és tesztelésünk azt mutatja, hogy javítva volt.

Az AEGISLAB műszerfal sebezhető volt

Számos webhelyközi (XSS) hibát találtunk, amelyek befolyásolták a my2.aegislab.com domainben futó szkripteket. Mivel a szkriptnek átadott paraméterek egyikét sem fertőtlenítették, triviális lett volna, ha a támadó rosszindulatú kódot hajt végre..

21 Android víruskereső alkalmazást teszteltünk és találtunk ezeket a súlyos sebezhetőségeket

Az XSS sebezhetőség változatos ajtót nyit a támadók számára. Belépési pontot jelentenek a további támadásokhoz és legitimitást adnak az adathalász expedíciók számára.

A BullGuard sebezhetőségei

Két biztonsági rést jelentettünk a BullGuardnak, mindkettő súlyos. Velünk együtt dolgoztak a hibák kiküszöbölése érdekében, és megerősítettük azok kijavítását.

A BullGuard-ot nagyon könnyű távolról letiltani

A BullGuard Mobile Security-t egy IDOR biztonsági rés sújtotta, amely lehetővé tette a távoli támadó számára a vírusvédelem letiltását. Úgy találtuk, hogy triviaális, ha a támadó az ügyfélazonosítókon keresztül iterál, és minden eszközön letiltja a BullGuard alkalmazást.

Az Android antivírus letiltja a BullGuard alkalmazástEl tudtuk állítani és módosíthatjuk a BullGuard Mobile antivírus letiltásának kérését. A biztonsági rés minden felhasználót érint, és könnyen felhasználható volt minden vírusvédelem letiltására

Tesztelésünk során azt a kérést hozták létre, amely akkor állítható elő, amikor a felhasználó kikapcsolja a vírusvédelmet. Ha megváltoztatja a felhasználói azonosítót a kérelemben, bármilyen eszköz vírusvédelme letiltható. A belépés ellenőrzése nem tűnik megfelelőnek annak biztosítására, hogy a helyes felhasználó tegye meg a kérelmet.

A BullGuard új felhasználókat fogad

Felfedeztük az új felhasználók feldolgozásáért felelős szkriptek egyikét a BullGuard webhelyén is érzékeny az XSS-re. A szóban forgó szkript nem fertőtleníti a neki átadott paramétereket, ami lehetővé teszi a támadó számára a rosszindulatú kód futtatását.

android antivírus ütköző hibája

Ebben az esetben triviaális volt riasztást megjeleníteni az oldalon. Más esetekben az ellenfelek ezt a sebezhetőséget felhasználhatják eltérítések végrehajtására, személyes adatok gyűjtésére vagy számos más támadás végrehajtására. Például a nagy megbízhatóságú webhelyek, mint például a BullGuard, ideális platformot jelentenek az adathalász kampányokhoz.

A BullGuard kínos titka

Az IDOR sebezhetőség ugyanolyan kínos, mint a víruskereskedőktől. A felhasználók az antivírus szoftverre támaszkodnak eszközük védelmi vonalaként, tehát ha azt csendesen és távolról le lehet tiltani, ez pusztító csapás. A BullGuard mindkét sebezhetőséget kijavította, és most nekik meg kell javítaniuk a felhasználók hírnevét.

Khaled bemutatta a BullGuard XSS hibájáról alkotott benyomásait: "A webhelyek közötti szkriptek biztonsági rései általánosak a webes alkalmazásokban, azonban az a tény, hogy ez a biztonsági rés a fő webhelyen létezett, azt jelenti, hogy valószínűleg még az elindításuk előtt sem végeztek automatizált szkennelést a webhelyen."

Mi a baj a mobil antivírussal??

Sok probléma van a mobil antivírus szoftverrel, de van egy nagy probléma, amely a piaci szegmenst érinti: Csak nincs elég mobil vírus és rosszindulatú program.

2018-ban a Kaspersky Labs jelentése szerint 116,5 millió vírus- és malware fertőzést blokkolt az Android és iOS eszközökön. Ez óriásinek hangzik, de számuk szerint az Egyesült Államokban a felhasználóknak csak 10% -át, Kanadában 5% -át és az Egyesült Királyságban 6% -ot kellett megvédeni a mobil fenyegetés ellen.

Tehát a gyártók arra koncentrálnak, hogy funkciókat adnak az önmaguk megkülönböztetéséhez, néha a kódbázisuk fejlesztése helyett. És nyilvánvalóan nem mindig végeznek nagyszerű munkát. Minden sérülékenységet olyan rendszerben találtunk, amely véletlenszerű a tényleges víruskeresés során.

Antivirus app VIPRE POCVIPRE koncepciónk bizonyítéka rövid és lényegre törő volt.

Mivel a mobil rosszindulatú programok nem ritkák (egyelőre), a gyártóknak nagyon könnyű elkészíteni egy alacsonyabb szintű terméket anélkül, hogy a felhasználók észrevennék. Ebben a környezetben az új funkciókkal rendelkező rossz alkalmazások népszerűvé válnak, és a Play Áruház algoritmusa nem más, mint a népszerű alkalmazások ajánlása. Tehát a ciklus folytatódik.

Van megoldás??

"Sajnos sok szervezetben az üzleti oldal nyeri a biztonsági oldalt" - mondta Khaled nekünk -, akárcsak a VIPRE Mobile esetében. Azt mondanám, hogy bármely hozzáértő behatolási tesztelő azonosíthatta ezeket a sebezhetőségeket. ”

"Több vállalkozásnak figyelmet kell fordítania, és ügyelnie kell arra, hogy a biztonsággal a projekt elején és az alkalmazásfejlesztés mellett foglalkozzanak, ahelyett, hogy a végén, amikor már túl késő lenne."

Reméljük, hogy meghallgatják, mert még mindig túl sok rossz, törött és bizonytalan Android víruskereső alkalmazás van.

Lehet, hogy tetszik azAntivirusA legjobb ingyenes rootkit eltávolító, felderítő és letapogató programokAntivirus10 ingyenes vírusok és rosszindulatú programok eltávolító eszközeiAntivirus8 Általános típusú rosszindulatú programok ismertetése az egyszerű angol nyelvenAntivirusHogyan lehet webhelyet keresni rosszindulatú programok ellen és javítani a feltört webhelyeket

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

− 1 = 4

map