23 czerwca 2017

Specjaliści Doctor Web wykryli w Google Play kilka potencjalnie niebezpiecznych aplikacji stanowiących zagrożenie głównie dla użytkowników na Ukrainie. Te programy pozwalają na uniknięcie zablokowania stron www serwisów “VK” i “Odnoklassniki”, ale robią to w niebezpieczny sposób. Przesyłają poprzez serwery firm trzecich niezaszyfrowane loginy do kont i hasła, oraz cały ruch powstały podczas korzystania z sieci społecznościowych, co może prowadzić do wycieków poufnych danych użytkowników.

W maju 2017, na Ukrainie, Dekretem Prezydenta ograniczono dostęp do serwisów kilku rosyjskich firm. Pośród tych firm znalazły się sieci społecznościowe “VK” i “Odnoklassniki”. Doprowadziło to do wzrostu popularności metod pozwalających ludziom na ominięcie mechanizmów blokujących — na przykład przeglądarek Tor, usług VPN i anonimizerów. Dodatkowo zaczęły pojawiać się nowe programy, oferujące podobną funkcjonalność. Jednakże, bez wątpienia, nie wszystkie te najnowsze programy są bezpieczne dla swoich użytkowników.

Specjaliści Doctor Web wykryli w Google Play kilka aplikacji pozwalających ludziom na pracę z zablokowanymi stronami www serwisów “VK” i “Odnoklassniki”. Aby uzyskać dostęp do tych sieci społecznościowych, posiadacze urządzeń z Androidem są proszeni o wprowadzenie ich poświadczeń logowania; następnie programy logują się na konta użytkowników, omijając mechanizmy blokujące. Analitycy bezpieczeństwa Doctor Web wykryli osiem takich programów, dystrybuowanych przez następujących deweloperów: JDX Studio, Soukaina Bousfiha, Zikolabs, Boubakri yassir, affzakanab, i simon faiz.

Wszystkie te aplikacje wyglądają nadzwyczaj podobnie. Są instalowane na urządzeniach mobilnych jako programy o nazwach «ВК В Украина», «ВК Украина», «ВК Украина 2», «ОК Украина», «Украина ОК», «ВК VPN Украина.», «ВК Украiна» i «ВК Украина VPN» i mają podobne skróty. Co najmniej 122000 użytkowników pobrało te aplikacje, a każdy z nich ryzykuje wyciek swoich osobistych danych.

Problemem jest to, że aby ominąć mechanizmy blokujące zastosowane przez strony www portali społecznościowych, opisywane oprogramowanie przekierowuje ruch poprzez anonimizery online. Anonimizery to specjalne serwery, które przetwarzają odwołania sieciowe, a także ukrywają informacje o komputerze lub urządzeniu mobilnym w celu ominięcia ograniczeń zapobiegających odwiedzeniu zablokowanych zasobów Internetu. Takie usługi są poszukiwane, na przykład przez użytkowników sieci korporacyjnych w których administratorzy systemów ograniczyli dostęp do domen sieci społecznościowych na poziomie bram internetowych.

Niezaszyfrowane poświadczenia logowania wprowadzane przez użytkowników są wysyłane na serwery anonimizujące, więc nie ma tu żadnych mechanizmów zapobiegających wykorzystaniu przez posiadaczy tychże serwerów pozyskanych w ten sposób informacji do nielegalnych celów. Na przykład, właściciele tych serwerów mogą logować się do sieci społecznościowych jako zwykli użytkownicy i wysyłać wiadomości bez ich wiedzy; mogą dodawać znajomych, zapisywać się do grup, czytać korespondencję, przeglądać zdjęcia, itp. Użytkownicy nawet nie wiedzą, że zalogowali się do sieci społecznościowych poprzez domenę „strony trzeciej”, ponieważ te aplikacje nie wyświetlają paska adresu. Każda późniejsza aktywność przeprowadzona przez to oprogramowanie na stronach www serwisów “VK” i “Odnoklassniki” również nie jest szyfrowana, co pozwala na łatwe monitorowanie wszystkich działań podejmowanych w tychże sieciach lokalnych.

Nawet przypuszczając, że posiadacze serwerów anonimizujących wykazali się tak nieodpowiedzialnym podejściem do ochrony poufnych danych z przyczyny zwykłego błędu, lub elementarnej niewiedzy w zakresie podstaw bezpieczeństwa informacji, nie możemy mieć gwarancji, że cyberprzestępcy nie zechcą przechwycić niezaszyfrowanego ruchu sieciowego.

Ponieważ użytkowanie opisywanych programów może prowadzić do wycieku osobistych informacji użytkowników, Antywirus Dr.Web wykrywa je jako potencjalnie niebezpieczne aplikacje o nazwie Program.PWS.1. Analitycy bezpieczeństwa Doctor Web poinformowali Google o tym, że wymienione oprogramowanie może prowadzić do wyeksponowania poufnych danych; jednakże, na chwilę opublikowania tego artykułu, te aplikacje są wciąż dostępne do pobrania.

Aby zabezpieczyć się, użytkownicy zablokowanych zasobów online powinni unikać używania podejrzanych aplikacji i usług wykorzystywanych do omijania ograniczeń dostępu. Na rynku dostępne są bezpieczniejsze rozwiązania zapewniające wystarczający poziom bezpieczeństwa. Pośród nich znajdują się komercyjne i darmowe usługi VPN (Dostawcy Sieci Wirtualnych lub prywatne sieci wirtualne) oraz serwery Proxy.

Wszystkie znane wersje Program.PWS.1 są z powodzeniem wykrywane przez produkty antywirusowe Dr.Web dla Androida. Ponieważ te programy są potencjalnie niebezpieczne, Doctor Web zaleca usunięcie ich i nie korzystanie z nich tak długo, dopóki ich deweloperzy nie dokonają wymaganych zmian w sposobie ich działania.

Więcej na temat Program.PWS.1