На конференции Summercon на этой неделе Чарли Миллер и Джон Оберхайде намерены провести демонстрацию обхода антивирусной защиты Bouncer, которая используется для сканирования всех новых приложений в каталоге Google Play (Android Market). Хакеры заблаговременно выложили в интернет маленький скринкаст своей работы.
Антивирусный сканер Bouncer появился несколько месяцев назад, после очередной волны вирусов, найденных в программах Google Play. Сканер выполняет роль первого рубежа защиты, проверяя все пакеты .apk на известные вирусные сигнатуры. Однако, Миллер и Оберхайде показали, как относительно легко обойти эту защиту. Они зарегистрировали несколько аккаунтов Google и опубликовали парочку вредоносных приложений в Google Play. Затем проверили, с каких IP-адресов идут запросы на C&C-сервер, так что смогли легко вычислить IP-адреса Google, которые используются в эмуляторе Bouncer. То есть можно элементарно заблокировать эти адреса (или назначить для них иное поведение программы), так что Bouncer не узнает о вредоносной функциональности приложения. Есть и другие способы вычислить, что приложение исполняется в эмуляторе Bouncer.
Работа Миллера и Оберхайде внушает уважение, потому что сообществу до сих пор практически ничего неизвестно о механизме работы Bouncer, эта информация публично не разглашалась компанией Google. В то же время найденные способы обхода защиты имеют долговременный эффект, то есть компания не может легко закрыть уязвимости. Конечно, они могут сменить IP-адреса, но суть от этого не меняется.
Главное, что злоумышленники могу легко регистрировать анонимные аккаунты в Google Play и спокойно тестировать свои программы против Bouncer.
