Teste Mostra que Verificação do Google Bouncer é Fácil de Ser Burlada
Os pesquisadores Jon Oberheide e Charlie Miller conseguiram se esquivar com sucesso do Google Bouncer, o sistema de segurança desenvolvido para analisar e recusar aplicativos maliciosos para Android antes de serem publicados no Google Play.
De acordo com as descobertas descritas em um artigo do blog Duo Security, os pesquisadores conseguiram implementar uma shell remota em um app que submeteram para publicação. Quando o Google Bouncer começou a analisar o aplicativo, Oberheide e Miller tiveram acesso à shell remota e conseguiram examinar a infraestrutura do Bouncer.
Para simplificar, sempre que uma aplicação é testada, o Google Bouncer executa-o em um dispositivo Android emulado e hospedado pelo Bouncer. Através da shell adicionada, o pesquisador teve acesso remoto ao dispositivo emulado rodando dentro do sistema Bouncer.
“Nós podemos vasculhar o sistema usando nossa shell para procurar por atributos interessantes do ambiente Bouncer, como a versão do Kernel que está rodando, os conteúdos dos arquivos de sistema, ou informações sobre alguns dos dispositivos emulados pelo ambiente Bouncer,” escreveram os pesquisadores no blog.
Entre outras descobertas interessantes, eles notaram que a pasta /sys contém a pasta quemu_trace, que pode informar ao aplicativo que ele está sendo rodado numa máquina virtual. Isto pode não parecer muita coisa, mas uma vez que o Bouncer é apenas uma tecnologia de blindagem, ele pode ser enganado com a inclusão de uma lógica extra no aplicativo, para que ele saiba se está sendo analisado ou executado em um dispositivo de um usuário. A lógica se resumiria em: se a pasta qemu_trace está presente, e se outros atributos do ambiente corresponderem ao do Bouncer, então se comporte como se estivesse sendo analisado. Caso a pasta não esteja presente, comece a destruir, porque está provavelmente instalado em um smartphone ou tablet.
“Esta é apenas uma técnica para tirar uma impressão digital do ambiente Bouncer, permitindo que um app malicioso pareça amigável quando executado dentro do Bouncer, mas ainda assim realizar atividades maliciosas quando executados em um Android de um usuário real,” mencionou Oberheide no vídeo logo abaixo.
Oberheide e Miller comentaram no post que estão em contato com a equipe de segurança do Android e vão trabalhar com eles para resolverem alguns dos problemas que eles descobriram. Eles irão também apresentar mais detalhes das descobertas esta semana, na Conferência SummerCon, e deixaram esse pequeno teaser abaixo disponível no Youtube.
Este artigo é uma cortesia de Bogdan Botezatu da Bitdefender
