Аудит Android-устройств на уязвимости BlueBorne
По сообщению компании «Доктор Веб», выявленная недавно группа опасных уязвимостей в протоколе Bluetooth (эти уязвимости и вектор атаки с их применением получили общее название BlueBorne) позволяет злоумышленникам получить полный контроль над атакуемыми устройствами, выполнять на них произвольный код и красть конфиденциальную информацию. Как отмечают в компании, аудитор безопасности в составе Dr.Web Security Space для Android проверяет, подвержены ли мобильные устройства этим уязвимостям, и своевременно информирует об этом пользователей.
Bluetooth – один из самых распространенных протоколов связи и популярный канал передачи данных, используемый в мобильных телефонах, компьютерах, бытовой технике, электронике, детских игрушках, медицинских приборах и автомобилях. Он обеспечивает безопасное соединение, однако время от времени в нем обнаруживаются изъяны. Так, исследователи выявили проблему с BlueBorne в ключевых компонентах большинства современных ОС, в том числе Windows, iOS, а также Linux и основанных на его ядре платформ, таких как Tizen и Android.
BlueBorne включает следующие уязвимости:
- CVE-2017-0781, CVE-2017-0782 – уязвимости ОС Android, позволяющие запускать приложения с привилегиями системы;
- CVE-2017-0785 – уязвимость Android, которая может привести к утечке и краже конфиденциальной информации;
- CVE-2017-0783 – уязвимость Android, позволяющая проводить атаки типа «Человек посередине» (Man-in-The-Middle);
- CVE-2017-1000251 – уязвимость компонента ядра Linux, которая позволяет выполнять произвольный код;
- CVE-2017-1000250 – уязвимость компонента ядра Linux, которая может привести к краже конфиденциальной информации.
BlueBorne позволяет злоумышленникам дистанционно выполнять вредоносный код на целевых Android-устройствах с включенным передатчиком Bluetooth, отправляя специально сформированные пакеты данных. Атака происходит с привилегиями ядра ОС, а для ее проведения не требуется предварительное сопряжение устройств и включение режима видимости. Для эксплуатации уязвимостей достаточно, чтобы на устройстве потенциальной жертвы был включен Bluetooth-адаптер, а атакующий находился в зоне действия радиосигнала передатчика.
Поскольку обеспечивающие работу Bluetooth процессы имеют высокие привилегии во всех ОС, эксплуатация выявленных уязвимостей способна дать практически полный контроль над объектом атаки. Уязвимости BlueBorne могут позволить злоумышленникам управлять устройствами, распространять между ними вредоносное ПО, получать доступ к хранящимся на них данным и подключенным сетям, а также выполнять атаки Man-in-The-Middle. Опасности подвержены все Android-смартфоны, планшеты и прочие устройства, на которых не установлено обновление безопасности от 9 сентября 2017 г., и устройства, не использующие Bluetooth только в режиме низкого потребления энергии (Bluetooth Low Energy).
Помимо проведения атак с применением BlueBorne напрямую злоумышленниками возможно появление использующих эти уязвимости вредоносных программ. Они смогут самостоятельно распространяться по каналам Bluetooth от одного устройства к другому подобно сетевым червям. Наибольшей опасности при этом подвергаются устройства, не получающие обновления безопасности от производителей прошивок или разработчиков ОС.
Входящий в комплект Dr.Web Security Space для Android Аудитор безопасности детектирует множество уязвимостей, которые могут присутствовать на Android-смартфонах и планшетах. Среди них – Extra Field, MasterKey, Heartbleed и ряд других. С выходом обновленной версии Аудитора к ним добавились уже описанная выше уязвимость BlueBorne, а также SIM Toolkit (CVE-2015-3843).
Ошибка SIM Toolkit в ОС Android позволяет злоумышленникам перехватывать и подделывать команды, отправляемые SIM-картой на мобильное устройство и обратно. Благодаря этому киберпреступники могут выполнять фишинговые атаки с использованием мошеннических окон и красть конфиденциальную информацию, такую как логины и пароли.
Для выявления BlueBorne на мобильных устройствах Аудитор безопасности Dr.Web проверяет наличие в системе обновления от Google и в случае его отсутствия предупреждает об угрозе. При обнаружении этой и других уязвимостей в системе рекомендуется установить все доступные обновления.