Hány Android-eszközt fertőzött meg a NoVoice?

A NoVoice több mint 2,3 millió Android-eszközt fertőzött meg, miután a Google Playen, az Android hivatalos alkalmazásboltján keresztül terjesztették.

Mit céloz meg kifejezetten a NoVoice kártevő a fertőzött eszközökön?

A NoVoice elsősorban a WhatsAppot veszi célba, hozzáférve az üzenet-adatbázisokhoz, az alkalmazáson keresztül megosztott médiafájlokhoz, és potenciálisan kinyerve a fiók hitelesítő adatait.

Hogyan szerzett a NoVoice ilyen magas szintű irányítást a fertőzött eszközök felett?

A NoVoice az Android régebbi verzióinak javítatlan sebezhetőségeit kihasználva emeli meg a jogosultságokat és szerez rendszergazdai hozzáférést, ami ugyanakkora kontrollt biztosít az eszköz felett, mint amilyennel maga az operációs rendszer rendelkezik.

A NoVoice korábban ismeretlen biztonsági réseket használ-e a támadás végrehajtásához?

Nem, a NoVoice régi, nyilvánosan ismert sebezhetőségekre támaszkodik, amelyeket a Google már javított, nem pedig nulladik napi (zero-day) exploitokra.

Miért maradt ilyen sok felhasználó sebezhető egy ismert, javított hibákon alapuló támadással szemben?

Sok felhasználó azért marad sebezhető, mert az eszközgyártók lassan küldik ki a frissítéseket, a régebbi telefonok egyáltalán nem kapnak már frissítéseket, és sok felhasználó nem telepíti időben a frissítéseket.

A NoVoice kártevő 2,3 millió Android-eszközt fertőzött meg a Google Playen keresztül

Egy újonnan felfedezett, NoVoice nevű Android-kártevő több mint 2,3 millió eszközt fertőzött meg, miután átcsúszott a Google Playen, az Android hivatalos alkalmazásboltján. A kártevő az Android régebbi verzióinak ismert sebezhetőségeit használja ki a rendszergazdai hozzáférés megszerzéséhez, majd kifejezetten a WhatsAppot veszi célba a felhasználói adatok begyűjtése érdekében. A fertőzés mértéke komoly kérdéseket vet fel azzal kapcsolatban, hogyan védhetik meg magukat a felhasználók, ha még az ellenőrzött alkalmazásboltok sem megbízhatóan biztonságosak.

Hogyan kerül a NoVoice az eszközére?

A NoVoice felkerült a Google Playre, ami azt jelenti, hogy több millió felhasználó telepítette, abban a hitben, hogy legitim alkalmazást tölt le. A telepítést követően a kártevő az Android régebbi verzióinak javítatlan sebezhetőségeit kihasználva emeli meg saját jogosultságait, és szerez rendszergazdai hozzáférést. A rendszergazdai hozzáférés azért különösen veszélyes, mert a támadónak ugyanakkora kontrollt biztosít az eszköz felett, mint amilyennel maga az operációs rendszer rendelkezik. Ebből a pozícióból a kártevő képes fájlokat olvasni, kommunikációkat lehallgatni, és megkerülni azokat a biztonsági intézkedéseket, amelyek egyébként blokkolnák az illetéktelen hozzáférést.

Az elsődleges célpont a WhatsApp. Rendszergazdai hozzáféréssel a NoVoice képes olvasni az eszközön tárolt WhatsApp-üzenet-adatbázisokat, hozzáférni az alkalmazáson keresztül megosztott médiafájlokhoz, és potenciálisan kinyerni a fiók hitelesítő adatait. Azon emberek millióinak, akik a WhatsAppot személyes beszélgetésekre, pénzügyi megbeszélésekre vagy bizalmas kommunikációra használják, ez közvetlen fenyegetést jelent magánéletükre nézve.

Miért számítanak még mindig a régi Android-sebezhetőségek?

A kampány egyik aggasztóbb aspektusa, hogy a NoVoice régi sebezhetőségekre támaszkodik, nem nulladik napi (zero-day) exploitokra. Ezek olyan biztonsági rések, amelyeket a Google már nyilvánosan ismert és javított, néha évekkel ezelőtt. A kártevő azért működik, mert az Android-felhasználók jelentős hányada még mindig elavult szoftvert futtat.

Ennek több oka is van. Egyes eszközgyártók lassan küldik ki a biztonsági frissítéseket. A régebbi telefonok esetleg egyáltalán nem kapnak már frissítéseket. Ráadásul sok felhasználó egyszerűen nem telepíti időben a frissítéseket – vagy megszokásból, vagy azért, mert az eszközön nem kerülnek egyértelműen a felhasználó elé. Az eredmény egy tartósan fennálló támadási felület, amelyet a kártevők szerzői sikeresen használnak ki, még akkor is, ha az alapul szolgáló sebezhetőségek jól ismertek.

Az a tény, hogy a NoVoice 2,3 millió letöltést ért el az észlelés előtt, szintén rávilágít az automatizált alkalmazásbolt-ellenőrzés korlátaira. A Google Play Protect, a Google beépített kártevő-ellenőrző rendszere, nem fogta el időben, hogy megakadályozza a széles körű fertőzést.

Mit jelent ez Önnek?

Ha Android-eszközt használ, különösen olyat, amelyet nem frissítettek a közelmúltban, ez az incidens hasznos figyelmeztetés biztonsági helyzetének átvizsgálására. Íme, amit a NoVoice-helyzet megmutat:

Az alkalmazásboltok nem csalhatatlanok. A hivatalos terjesztési csatornák csökkentik a kockázatot, de nem szüntetik meg azt. A kártevők eljutnak a felhasználókhoz legitim áruházakon keresztül is.
A rendszergazdai szintű hozzáférés mindent megváltoztat. Ha egy kártevő rendszergazdai jogokat szerez az eszközön, sok szokásos védelem hatástalanná válik. A fenyegetés már nem csupán egy alkalmazás, amely átlépi a jogosultságait; ez egy szoftver, amely közel teljes irányítással rendelkezik.
Az üzenetküldő alkalmazások nagy értékű célpontok. A WhatsApp jelentős mennyiségű érzékeny személyes adatot tárol helyileg, ami vonzó célponttá teszi minden olyan kártevő számára, amely hozzá tud férni a fájlrendszerhez.
A javítatlan eszközök halmozódó kockázatot hordoznak. Minden javítatlanul hagyott sebezhetőség egy nyitott ajtó, amelyen a támadók újra és újra átléphetnek, ahogyan azt a NoVoice is bizonyítja.

Azoknak a felhasználóknak, akik a közelmúltban ismeretlen alkalmazásokat telepítettek, vagy akik már régóta nem frissítették Android-szoftverüket, érdemes biztonsági vizsgálatot futtatni és átnézni a telepített alkalmazásaikat. Ha érzékeny kommunikációra használja a WhatsAppot, vegye figyelembe, hogy a feltört eszközön helyileg tárolt adatokhoz esetleg hozzáfértek.

Gyakorlati lépések a kockázat csökkentéséhez

A NoVoice kártevő-kampány emlékeztető arra, hogy a mobilbiztonság folyamatos figyelmet igényel, nem csupán egyetlen egyszeri intézkedést. Néhány gyakorlati lépéssel érzékelhetően csökkentheti kitettségét:

Tartsa naprakészen Android-szoftverét. A biztonsági javítások pontosan azokat a sebezhetőségeket szüntetik meg, amelyeket a NoVoice kihasznál. Ha eszköze támogatja, engedélyezze az automatikus frissítéseket, és rendszeres időközönként ellenőrizze, hogy eszköze nem mulasztott-e el automatikusan telepíteni valamely frissítést.

Rendszeresen tekintse át az alkalmazások jogosultságait. Lépjen be az eszköz beállításaiba, és vizsgálja meg, mely alkalmazásoknak van hozzáférésük érzékeny engedélyekhez, mint például a tárhely, a névjegyek vagy a mikrofon. Vonja vissza mindazokat, amelyeknek nincs szükségük ezekre.

Legyen válogatós azzal kapcsolatban, hogy mit telepít. Még a Google Playen is nézze meg a letöltések számát, az értékeléseket, a fejlesztő hírnevét, és hogy mióta érhető el az alkalmazás, mielőtt telepíti azt. A korlátozott előzményekkel rendelkező, újonnan megjelent alkalmazások nagyobb kockázatot hordoznak.

Ahol lehetséges, használjon titkosított üzenetküldést. Bár a titkosítás nem védi a már feltört eszközön tárolt adatokat, a végpontok közötti titkosítású üzenetküldő alkalmazások korlátozzák azt, ami átvitel közben lehallgatható.

Fontolja meg egy mobilbiztonsági alkalmazás használatát. Számos jó hírű biztonsági szolgáltató kínál Android-alkalmazásokat, amelyek kártevőket keresnek és jelzik a gyanús viselkedést, ezáltal egy további észlelési réteget biztosítva az operációs rendszerbe épített védelmen túl.

A NoVoice-hoz köthető 2,3 millió fertőzés szemléletes példája annak, mi történik, ha a mobil biztonságot nem kötelező fontosságúnak tekintik. Az elavult szoftvert futtató, vagy az alkalmazásokat különösebb körültekintés nélkül telepítő Android-felhasználók pontosan az ehhez hasonló kampányokkal szemben maradnak sebezhetők. A szoftver naprakészen tartása és az alkalmazástelepítések bizonyos fokú szkepticizmussal való megközelítése a két leghatékonyabb védekezési lehetőség a hétköznapi felhasználók számára.