Новости

Баг в дефолтних браузері Android використовувався для підписки жертв на платні послуги

Експерти «Лабораторії Касперського» описали незвичайну схему шахрайства, в ході якої зловмисники підписували абонентів стільникових операторів на платні контент-послуги без їх відома. Шахраї застосовували для цих цілей вразливість дворічної давності в одному із стандартних компонентів ОС Android - штатному браузері Android Browser (AOSP Browser, стандартну назву пакета - com.android.browser).

AOSP Browser присутня в тому чи іншому вигляді на багатьох пристроях, що не оновлених до Android 5.0. Таким чином, в групі ризику потенційно виявляється більше 500 мільйонів пристроїв.

суть уразливості CVE-2014-6041 , Яку експлуатували хакери, полягає в тому, що вона дозволяє шкідливому скрипту з сайту зловмисників виконуватися в контексті іншого, легітимного сайту. Уразливість полягає в можливості обходу механізму SOP (Same Origin Policy), що в підсумку дає можливість здійснення UXSS-атаки (Universal Cross-Site Scripting).

Експерти відзначають, що потенціал у такий атаки великий. Аналогічний сценарій може бути застосований і в інших випадках: наприклад, при здійсненні покупок через мобільні версії сайтів, або при роботі з інтернет-банкінгом через браузер, а не через додаток.

«Спочатку нашу увагу привернуло різну поведінку браузерів AOSP Browser і Chrome Mobile при спробі користувача отримати доступ до якоїсь підписці: в Chrome все працювало коректно, і користувачеві демонструвалася сторінка із запитом на згоду оформити платну підписку; в браузері AOSP ж спливало фонове вікно, після чого користувачеві без всяких підтверджень з його боку приходило SMS-повідомлення про успішну підписці на контент-послугу », - пишуть дослідники.

Для виявлення проблеми і експериментів дослідники використовували бюджетний смартфон Alcatel, що працює під управлінням ОС Android 4.1.1. Виявилося, що спочатку Chrome і AOSP Browser діють однаково. З якогось зовнішнього адреси (наприклад, з контекстної реклами) користувач потрапляє на стандартний сайт-дор, який призначений для відправки на сторінку з платної підпискою. Якщо користувач клацне по посиланню, він потрапить на сторінку, яка імітує відеоплеєр, на яку завантажений JavaScript, що запускає ланцюжок редиректів. В результаті першої переадресації завантажується веб-сторінка, стисла за допомогою gzip. При цьому на сервер зловмисників відправляються параметри пристрою, і сервер вирішує, перенаправляти чи користувача на сторінку, де відбувається експлуатація уразливості.

Потім в поведінці браузерів з'являються відмінності. Chrome відправляє користувача по ланцюжку переадресаций (HTTP-переадресації, код 302) через сервер контент-провайдера на Лендінгем-сторінку оператора стільникового зв'язку, де описана суть платної послуги, її вартість та інші параметри підписки.

Браузер AOSP, в свою чергу, перенаправляє користувача на сторінку з обробником onclick і обфусцірованним скриптом. Саме з цієї сторінки експлуатується вразливість в браузері. Відбувається ряд редиректів, аналогічних редирект в Chrome, і обробник onclick кожну секунду перевіряє, який URL-адресу відкритий в цьому вікні. Як тільки відкривається легітимна сторінка платної підписки оператора, яка потрапляє під умову регулярного виразу «/moipodpiski.ssl.mts.ru\/lp/g», виконується наступний код (через метод window.opener.postMessage):

setTimeout (function () {

$ ( '# ButtonSubmit'). Click ();

}, 500);

Тобто зловмисники імітують натискання на відкритій сторінці платної підписки кнопки «Так». Програма «натискає» її без відома користувача.

Програма «натискає» її без відома користувача

Ланцюжок редиректів і застосування уразливості в браузері AOSP

За словами дослідників, основна проблема полягає саме в тому, що уразливість відома давно, але ніщо не міняється, незважаючи на що вийшов патч:

«За статистикою різних досліджень, частка вразливих до CVE-2014-6041 пристроїв може складати від 30 до 45% від загальної кількості девайсів . Незважаючи на випущене виправлення безпеки для Android Jelly Bean, більшість виробників пристроїв, особливо бюджетних, не потурбувалася про випуском виправленої прошивки ».

Фото: Daily Dot

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация: