Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja mobilnego złośliwego oprogramowania: przegląd, część 2

Tagi:

Alexander Gostev
Starszy analityk wirusów, Kaspersky Lab
  1. Ewolucja mobilnego złośliwego oprogramowania: przegląd, część 1
  2. Ewolucja mobilnego złośliwego oprogramowania: przegląd, część 2

Epidemie

Spróbujmy odpowiedzieć na pytanie, jak bardzo rozpowszechnione jest mobilne złośliwe oprogramowanie we współczesnym świecie. Użytkownicy i dziennikarze często narzekają, że firmy antywirusowe wywołują sztuczną histerię w związku z zagrożeniem ze strony wirusów. Mówi się, że szanse Cabira na rozprzestrzenianie się są bardzo niewielkie, ponieważ, aby wirus ten został uruchomiony, użytkownik musi potwierdzić zarówno przyjęcie i uruchomienie pliku, jak i instalację robaka. Natomiast Comwar nie mógł rozprzestrzeniać się na dużą skalę ze względu na to, że MMS nie jest powszechnie używany (około 2% wszystkich użytkowników telefonów komórkowych). Jeśli chodzi o niebezpieczeństwo infekcji trojanem wandalem, takim jak na przykład Skuller, większość ludzi nawet nie chce o tym słyszeć; w końcu aby taki wirus zainfekował urządzenie, użytkownik musiałby pobrać go z Internetu, skopiować do telefonu, a następnie uruchomić.

Oczywiście z teoretycznego punktu widzenia, konkluzje te są logiczne i przekonujące. Jednak świat złośliwych programów dla komputerów i telefonów komórkowych, jak również ich użytkownicy nieustannie opierają się prawom logiki. Prawdopodobieństwo, że użytkownik otrzyma i uruchomi Cabira jest takie samo jak prawdopodobieństwo, że użytkownik przyjmie i uruchomi plik wysłany e-mailem od nieznanego nadawcy. Mimo to użytkownicy uruchamiają takie pliki! Dowodem na to są globalne epidemie robaków, takich jak Mydoom, NetSky, Sober, które miały miejsce w ciągu ostatnich kilku lat. Firmy antywirusowe nieustannie przestrzegają: "Nie uruchamiaj pliku, który przesłano ci pocztą elektroniczną, jeśli wcześniej go nie przeskanowałeś". Jednak wygląda na to, że przestrogi te nie odnoszą prawie żadnych skutków - ludzka ciekawość i lekceważenie podstawowych zasad bezpieczeństwa zawsze biorą górę.

Cabir

Cabir został wysłany firmom antywirusowym w czerwcu 2004 roku. Zaledwie miesiąc później okazało się, że przypadki infekcji Cabirem zostały wcześniej wykryte na Filipinach. Tego się nie spodziewano. W tym czasie uważaliśmy, że Cabir był wirusem "zoo", który nigdy nie wydostanie się poza kolekcje firm antywirusowych. Okazało się jednak, że Cabira otrzymały nie tylko firmy antywirusowe, ale również twórcy wirusów. Wirus przedostał się na wolność i wyruszył w podróż dookoła świata.

Od dłuższego czasu współpracujemy z fińską firmą F-Secure, która jako pierwsza zwróciła uwagę na problem mobilnego złośliwego oprogramowania i prowadzi rozległe badania na tym obszarze. Firma ta zaczęła tworzyć listę krajów, w których wykryto Cabira. Po zaledwie roku, do lata 2005 roku lista ta zawierała ponad 20 państw. Firma Kaspersky Lab również gromadzi podobne statystyki - przedstawiona lista zawiera też niektóre dane z naszej firmy. Poza tym, otrzymaliśmy potwierdzenie przypadków infekcji w wielu różnych państwach, które wciąż znajdują się na tej liście. Dlatego możemy powiedzieć, że lista ta odzwierciedla rzeczywistość i stanowi rzetelne źródło informacji.

Około rok temu zaczęliśmy tracić rachubę i przestaliśmy aktualizować listę.

1. Filipiny
2. Singapur
3. Zjednoczone Emiraty Arabskie
4. Chiny
5. Indie
6. Finlandia
7. Wietnam
8. Turcja
9. Rosja
10. Wielka Brytania
11. Włochy
12. Stany Zjednoczone
13. Japonia
14. Hong Kong
15. Francja
16. Afryka Południowa
17. Holandia
18. Egipt
19. Luksemburg
20. Grecja
21. Ukraina
22. Nowa Zelandia
23. Szwajcaria
24. Niemcy
Państwa, w których wykryto Cabira
(wrzesień 2005, dane pochodzące z firmy F-Secure i Kaspersky Lab)

Poniżej prezentujemy kilka konkretnych przykładów infekcji Cabirem. Rosja znajduje się na 9 miejscu na liście państw, w których wykryto tego robaka. To, że Cabir występuje w Rosji na wolności, po raz pierwszy stało się oczywiste w styczniu 2005 roku. Do tego czasu otrzymywaliśmy informacje, że robak ten atakuje telefony w moskiewskim metrze. Podobne informacje napływały z sąsiadującej z Rosją Ukrainy, gdzie Cabir pojawił się w Kijowie i Charkovie. Nie mogliśmy jednak potwierdzić tych przypadków, ponieważ nikt nie zwrócił się do nas z zainfekowanym telefonem.

Zmieniło się to w styczniu 2005 roku - osoba pracująca w tym samym budynku, w którym mieściła się firma Kaspersky Lab, skontaktowała się z naszym działem pomocy technicznej, mówiąc, że kilka dni temu jej telefon zaczął dziwnie się zachowywać. Miało to miejsce po tym, jak w metrze przyjęła plik transmitowany za pośrednictwem technologii Bluetooth. Po przyjrzeniu się jej telefonowi nasi analitycy wirusów zdołali potwierdzić, że urządzenie zostało zainfekowane robakiem Cabir.a.

W 2005 roku nadal spotykaliśmy się z przypadkami zainfekowanych telefonów; tylko w firmie Kaspersky Lab Cabirem zaatakowane zostały telefony ponad 10 pracowników. Otrzymali oni zapytanie, czy chcą przyjąć plik o nazwie caribe.sis transmitowany za pośrednictwem technologii Bluetooth. Ostatnio odnotowaliśmy taki przypadek w lutym 2006 roku.

Prawdopodobnie najbardziej znana epidemia lokalna spowodowana przez Cabira miała miejsce w Helsinkach w sierpniu 2005 roku, podczas 10 Mistrzostw Świata w Lekkiej Atletyce. W Helsinkach znajduje się centrala firmy F-Secure. To właśnie ta firma zaczęła otrzymywać doniesienia o infekcji Cabirem na stadionie, na którym rozgrywały się mistrzostwa. Biorąc pod uwagę okoliczności - dziesiątki tysięcy osób z całego świata stłoczone na stosunkowo niewielkiej przestrzeni - wystarczyłby jeden zainfekowany telefon, aby infekcja rozprzestrzeniła się w błyskawiczny sposób. Podczas gdy na boisku ustanawiano rekordy sportowe, Cabir bił rekordy pod względem szybkości rozprzestrzeniania się.

Na szczęście, pracownicy F-Secure zadziałali błyskawicznie i ustanowili punkt kontaktowy w Centrum Obsługi Klienta, gdzie każdy, kto podejrzewał, że jego telefon komórkowy został zainfekowany, mógł oddać go do sprawdzenia i wyleczenia. Gdyby epidemia nie została zlokalizowana, zainfekowane telefony zostałyby zawiezione do państw, w których mieszkają ich właściciele, a liczba krajów, w których występuje Cabir, mogłaby być znacznie większa.

Przykład warunków, jakie muszą zostać spełnione, aby robak wykorzystujący technologię Bluetooth mógł się skutecznie rozprzestrzeniać:

  • duża liczba ludzi
  • ograniczona przestrzeń

Do opisanej wyżej kategorii można zaliczyć restauracje, kina, lotniska, stacje kolejowe, metra i obiekty sportowe.

Pod względem rozprzestrzeniania się robaki wykorzystujące technologię Bluetooth posiadają następujące właściwości:

  • zasięg infekcji ogranicza się do zasięgu połączenia Bluetooth (około 10 - 20 metrów, niektóre testowane przez nas urządzenia dysponowały zasięgiem nawet do 30 metrów)
  • robaki wykorzystujące technologię Bluetooth nie potrafią przeprowadzać ataków na sprecyzowane cele, na przykład zgodnie z listą potencjalnych ofiar czy na losowo wygenerowany numer telefonu. Infekcja jest spontaniczna - jeśli tylko niezabezpieczone urządzenie znajduje się w zasięgu, robak próbuje je infekować.

Comwar

Drugim robakiem atakującym urządzenia mobilne, który został wykryty na wolności był Comwar. Cabir najpierw trafił do firm antywirusowych, a dopiero później pojawił się na wolności. Comwar natomiast został wykryty po tym, jak zainfekował telefony użytkowników z kilku państw, którzy wysłali następnie podejrzane pliki firmom antywirusowym do analizy. Z Comwarem po raz pierwszy mieliśmy do czynienia w marcu 2005 roku; jednak informacje o infekcjach pojawiły się na kilku forach dotyczących mobilnego złośliwego oprogramowania (na przykład w Holandii i Serbii) już w styczniu 2005 roku. To oznacza, że Comwar rozprzestrzeniał się na całym świecie przynajmniej dwa miesiące przed tym, jak dowiedziały się o tym firmy antywirusowe. Wynika z tego, że związki między użytkownikami a firmami antywirusowymi są nadal słabe jeśli chodzi o mobilne złośliwe programy. Nawet na najmniejszą oznakę tego, że coś nieprzewidzianego dzieje się z ich komputerami, użytkownicy PC-ów mogą podejrzewać wirusa i skontaktować się z firmą antywirusową. W przypadku mobilnego złośliwego oprogramowania sytuacja wygląda zupełnie inaczej i upłynie wiele czasu, zanim cokolwiek się zmieni.

Podobnie jak w przypadku Cabira, firma F-Secure zaczęła prowadzić listę państw, w których wykryto Comwara. Ostatnia lista (wrzesień 2005) wygląda następująco:

1. Irlandia
2. Indie
3. Oman
4. Włochy
5. Filipiny
6. Finlandia
7. Grejca
8. Afryka Południowa
9. Malezja
10. Austria
11. Brunei
12. Niemcy
13. Stany Zjednoczone
14. Kanada
15. Wielka Brytania
16. Rumunia
17. Polska
18. Rosja
19. Holandia
20. Egipt
21. Ukraina
22. Serbia
Państwa, w których wykryto Comwara
(wrzesień 2005, dane z firmy F-Secure i Kaspersky Lab)

Interesujące jest to, że obie listy mają podobną długość (23 państwa dla Cabira, 22 państwa dla Comwara). Comwar pojawił się 8 miesięcy po Cabirze. Jednak robak ten stosuje niebezpieczniejszą metodę propagacji (poprzez wiadomości MMS, które mogą być transmitowane na każdą odległość), dzięki czemu może dogonić Cabira. Wydaje się bardzo prawdopodobne, że liczba państw, gdzie wystąpiły infekcje Comwarem, jest obecnie większa niż liczba państw, w których zaatakował Cabir.

Należy podkreślić jeden istotny fakt: lista zawiera państwa, o których wiadomo, że wystąpił w nich przynajmniej jeden incydent związany z Comwarem. Nie można na jej podstawie wyciągać wniosków na temat tego, jak bardzo rozpowszechniony jest robak w poszczególnych państwach - wstępnych szacunków można dokonać jedynie na podstawie innych podobnych danych.

Na szczęście, nie tylko firmy antywirusowe przejmują się problemem robaków, które rozprzestrzeniają się za pośrednictwem MMS-ów; kwestią tą zainteresowani są również dostawcy usług mobilnych. W Rosji niektórzy dostawcy podjęli działania mające zapewnić użytkownikom ochronę poprzez zainstalowanie rozwiązania antywirusowego w swoich sieciach (bardzo podobnego do tego wykorzystywanego do skanowania poczty elektronicznej).

Oznacza to, że mamy teraz dostęp do danych ilościowych. Co więcej, okazuje się, że ruch MMS zawiera nie tylko mobilne złośliwe oprogramowanie, ale również tradycyjne robaki komputerowe. Wynika to z tego, że szkodniki te wysyłają się na adresy e-mail, które mogą być również adresami MMS. Jednak artykuł ten poświęcony jest mobilnemu złośliwemu oprogramowaniu, dlatego w tym miejscu nie będziemy poruszać tego tematu.

Poniższe dane zostały opublikowane po raz pierwszy i opierają się na analizie ruchu MMS jednego z największych rosyjskich dostawców usług mobilnych. Na jego prośbę dane te nie zawierają liczby analizowanych wiadomości MMS.

Nazwa złośliwego programu Liczba zainfekowanych MMS-ów
Worm.SymbOS.ComWar.a 4733
Worm.SymbOS.ComWar.c 450
Trojan-SMS.J2ME.RedBrowser.b 1
Dane dla okresu 11 - 17 czerwca 2006

Nazwa złośliwego programu Liczba zainfekowanych MMS-ów / zmiana w porównaniu z poprzednim okresem
Worm.SymbOS.ComWar.a 5498 (+765)
Worm.SymbOS.ComWar.c 854 (+404)
Trojan-SMS.J2ME.RedBrowser.b 1 (bez zmian)
Dane dla okresu 18 - 24 czerwca 2006

Nazwa złośliwego programu Liczba zainfekowanych MMS-ów / zmiana w porównaniu z poprzednim okresem
Worm.SymbOS.ComWar.a 4564 (-934)
Worm.SymbOS.ComWar.c 756 (-98)
Dane dla okresu 25 czerwca - 1 lipca 2006

Nazwa złośliwego programu Liczba zainfekowanych MMS-ów / zmiana w porównaniu z poprzednim okresem
Worm.SymbOS.ComWar.a 4837 (+273)
Worm.SymbOS.ComWar.c 698 (-58)
Worm.SymbOS.ComWar.d 6 (+6)
Dane dla okresu 1 - 7 lipca 2006

Przyjrzyjmy się dokładniej statystykom dla robaka Comwar.d. Wariant ten został stworzony w hiszpańskojęzycznym kraju, dlatego tym bardziej dziwi jego obecność w rosyjskim ruchu MMS. Poza tym, Comwar.d został po raz pierwszy wykryty w marcu 2006 roku i dotarł do Rosji zaledwie cztery miesiące później.

Warto wspomnieć o przypadku infekcji robakiem Comwar, który został wykryty przez pracowników Kaspersky Lab. W czerwcu 2005 roku konferencja partnerów firmy Kaspersky Lab odbyła się w Grecji. Zaraz po niej niektórzy z naszych pracowników wzięli udział w rejsie jachtem po Morzu Egejskim. Jednego dnia kapitan, a zarazem właściciel jachtu zaczął narzekać, że jego smartfon Nokia nieustannie otrzymuje wiadomości z których wynika, że wiadomości MMS nie zostały dostarczone. Było to o tyle dziwne, że w ogóle nie wysłał wiadomości MMS. Z Internetu pobraliśmy i zainstalowaliśmy wersję beta oprogramowania KAV Mobile i źródło problemu wkrótce stało się jasne: telefon został zainfekowany Comwarem.

Poza Cabirem i Comwarem, nasze sygnatury zagrożeń zawierają niektóre warianty Skullera, Drevera, Appdisablera, Cardtrapa, PbStealera, RedBrowsera, Doombota, trojanów Flexispy i robaka StealWar, które występują na wolności. Wiele z tych programów "podszywało się" pod gry oraz użyteczne aplikacje i zostało opublikowanych na stronach przeznaczonych dla użytkowników Symbiana.

"Ojczyzna" wirusów

Zawsze gdy mowa o wirusach komputerowych, pojawia się pytanie o to, z którego państwa pochodzą. Zgodnie ze stereotypem kreowanym przez zachodnie media, zagrożenia te tworzone są w Rosji. Jest to jednak mit, który - jeśli przyjrzeć mu się bliżej - można łatwo obalić. Wielu autorów wirusów, których twory spowodowały epidemie w ciągu ostatnich kilku lat, zostało aresztowanych. Jeśli chodzi o pozostałych, łatwo ustalić, w jakich państwach mieszkają:

  • robaki Sasser i NetSky (Niemcy)
  • robak Zafi (Węgry)
  • robak Bozori (Turcja/ Maroko)
  • backdoory Agobot i Codbot (Holandia)
  • robak Slammer (Azja Wschodnia)
  • robak Sober (Niemcy)

Rosjanie mogą "pochwalić się" tylko Baglem, ale nawet ten robak został prawdopodobnie stworzony przez międzynarodową grupę cyberprzestępców.

W tym momencie liderem tego raczej niechlubnego wyścigu są Chiny, na drugim miejscu natomiast znajduje się Brazylia. Znaczna liczba współczesnych wirusów jest tworzona w Turcji. Pod względem liczby tworzonych wirusów państwa byłego Związku Socjalistycznych Republik Radzieckich znajdują się w tym samym szeregu co Turcja.

Jeśli chodzi o mobilne złośliwe programy, sytuacja wygląda podobnie. Ustalenie państwa pochodzenia jest możliwe w przypadku 31 takich rodzin. Jak już wspominaliśmy, Cabir został stworzony przez Valleza, który pochodzi z Francji. Po tym jak robak ten stał się dostępny w podziemiu komputerowym, wszędzie zaczęły pojawiać się jego modyfikacje. W tworzeniu nowych wariantów najbardziej aktywne były państwa Azji Południowo Zachodniej (Filipiny, Indonezja, Malezja i Chiny). Jednak gdy Brazylijczyk Velasco stworzył Lasco, napisał również kilka nowych wariantów Cabira.

Były Związek Socjalistycznych Republik Radzieckich zapewnił sobie miejsce w historii mobilnego złośliwego oprogramowania czterema wirusami. Trzy z nich są wirusami typu "proof of concept". Brador, pierwszy backdoor dla WinCE został stworzony przez programistę z Ukrainy, występującego pod pseudonimem BrokenSword. Comwar, któremu poświęciliśmy sporo miejsca w tym artykule, bez wątpienia został stworzony w Rosji - wynika to zarówno z tekstów w samym robaku, jak i informacji, które posiadamy o jego twórcy, który występuje pod pseudonimem e10d0r. Autor trzeciego wirusa typu "proof of concept", trojana o nazwie RedBrowser, jest nieznany, jednak teksty w trojanie i numer telefonu, na który RedBrowser wysyła wiadomości SMS jasno wskazują na rosyjskie pochodzenie autora.

Trojan Locknut został po raz pierwszy wykryty przez SimWorks, firmę antywirusową z Nowej Zelandii. Podejrzenia, że jego twórca pochodzi z Rosji opierały się na niegramatycznym tekście zawartym w trojanie i użytych nazwach plików.

Jak już zauważyliśmy w pierwszej części artykułu, wiele wariantów Comwara zawierało tekst w języku hiszpańskim. Na tej podstawie stwierdzono, że został stworzony w Hiszpanii. Nie posiadamy jednak żadnych danych o występowaniu Comwara w Hiszpanii, które wskazywałyby pochodzenie wirusa.

W Turcji stworzono kilka modyfikacji Skullera, Cardtrapa oraz Arifata, rodziny trojanów, z której do tej pory widzieliśmy tylko jedną próbkę.

Bez wątpienia, przeważająca liczba mobilnych złośliwych programów została stworzona w Chinach, prawdopodobnie w Południowej Korei. W zeszłym roku ogromna większość trojanów dla urządzeń przenośnych była wykrywana i przesyłana do firm antywirusowych z Korei Południowej. Jednak nasze badania wykazały, że trojany zostały umieszczone na koreańskich serwerach, które padły ofiarą włamania przeprowadzonego z terytorium Chin. Wirusy takie jak PbStealer, StealWar i niektóre warianty prawie każdej podobnej rodziny trojanów również zostały stworzone w Chinach.

Warto wspomnieć o twórcy wirusów z Malezji: osoba ta jest odpowiedzialna za ogromną większość wariantów Skullera, być może także za pierwszego robaka z tej rodziny.

O czym świadczą wszystkie te fakty? Świat mobilnego złośliwego oprogramowania ewoluuje zgodnie z tymi samymi prawami, które rządzą w świecie wirusów komputerowych. Ponadto, mobilne złośliwe programy i wirusy komputerowe tworzone są w tych samych państwach.

Problemy systemów operacyjnych

Czynnikiem mającym największy wpływ na ewolucję mobilnych złośliwych programów są luki w zabezpieczeniu oprogramowania i systemów operacyjnych samych urządzeń. W świecie komputerów prawie wszystkie największe epidemie wirusów w ciągu ostatnich kilku lat spowodowane były lukami w Windowsie. Istnieją dwa sposoby przeniknięcia do systemu ofiary: wykorzystanie czynnika ludzkiego (socjotechnika) lub błędów w kodowaniu oprogramowania (luki w zabezpieczeniach). Oba wektory ataków stosują się również do urządzeń przenośnych.

Trzy główne źródła luk to:

  • Windows CE (system operacyjny)
  • Symbian (system operacyjny)
  • Protokoły bezprzewodowe (Bluetooth, WiFi, porty podczerwieni)

Windows CE jest niezwykle podatny z punktu widzenia bezpieczeństwa systemu. Nie istnieją żadne ograniczenia odnośnie wykonywanych aplikacji i ich procesów. Po uruchomieniu program może zdobyć pełny dostęp do każdej funkcji systemu operacyjnego, takiej jak otrzymywanie i transmitowanie plików, funkcji telefonicznych i multimedialnych itd. Tworzenie aplikacji dla Windows CE jest niezwykle proste, ponieważ system jest całkowicie otwarty na programowanie, co pozwala na wykorzystanie nie tylko języków maszynowych (np. ASM for ARM), ale również platform programistycznych, takich jak .NET.

Chociaż obecnie znamy tylko cztery rodziny wirusów, które atakują Windows CE, nie można nie docenić potencjału tego systemu operacyjnego jako środowiska dla złośliwego kodu. Istniejące obecnie wirusy reprezentują wszystkie najbardziej niebezpieczne typy złośliwego oprogramowania: klasyczne wirusy plikowe, robaki pocztowe, backdoory oraz robaki, które potrafią przemieszczać się z urządzenia przenośnego na komputer PC, po tym jak zostaną do niego podłączone. Rośnie popularność platform opartych na systemie Windows CE. Za kilka lat platformy te mogą przejąć udział w rynku systemów operacyjnych dla urządzeń przenośnych, wypierając Symbiana.

Windows CE cieszy się coraz większym zainteresowaniem zarówno twórców wirusów jak i ekspertów zajmujących się kwestiami bezpieczeństwa IT. Jak już wspominaliśmy wcześniej, podczas konferencji DefCon w sierpniu tego roku Collin Mulliner przedstawił prezentację na temat luki w przetwarzaniu MMS-ów w Windows CE 4.2x. Microsoft i jego partnerzy pracują obecnie nad naprawieniem tego błędu. Jednak nawet po opublikowaniu łaty użytkownicy zagrożonych urządzeń będą musieli być informowani o konieczności ponownego zainstalowania oprogramowania firmware na swoich smartfonach czy urządzeniach PDA.

Nie powinniśmy również zapominać, że jest to tylko jedna z poważnych luk wykrytych w Windows CE w ciągu ostatnich kilku miesięcy. Luki w Active Sync oraz MMS/SMS mogłyby zostać wykorzystane do przeprowadzenia ataku DoS na urządzenia przenośne. Kolejne zagrożenie stanowią potencjalne luki w przeglądarce Internet Explorer dla Windows CE i programów służących do zmiany formatów plików. Luki te bez wątpienia istnieją. Pozostaje tylko pytanie: kto wykryje je pierwszy - twórca wirusów czy tak zwany biały kapelusz, specjalista zajmujący się bezpieczeństwem IT, taki jak Collin Mulliner lub Tim Hurman (wykrył on lukę "Bluetooth stack remote code execution", informacje o której pozostają do dzisiaj tajne).

Duts, pierwszy wirus dla systemu Windows CE, wykorzystywał nieznaną Microsoftowi lukę w API (tak zwaną lukę 0-day).

Podsumowując, Windows CE z każdym dniem staje się coraz popularniejszy. Wzrost liczby złośliwych programów dla tej platformy może wkrótce dorównać wzrostowi ilości złośliwego oprogramowania dla Symbiana. Głównym środowiskiem wykorzystywanym do rozwoju złośliwych programów będzie .NET, a znaczna liczba tych wirusów będzie wykorzystywać luki w Windows CE.

Obecnie najpopularniejszym wbudowanym systemem operacyjnym jest Symbian. Wykryte w tym systemie luki nie są tak niebezpieczne jak te w Windows CE, jednak jego bezpieczeństwo to tylko iluzja. Sama architektura Symbian Series 60 zawiera szereg poważnych błędów, które można traktować jak rzeczywiste luki. Wspominaliśmy już, że Symbian pozwala na nadpisanie każdej aplikacji systemowej bez wyraźnej zgody użytkownika. Ponadto, potencjalne problemy mogą stanowić niestandardowe formaty plików, które mogą spowodować, że system stanie się bardzo niestabilny, a urządzenie samodzielnie dokona ponownego uruchomienia. Poziom zabezpieczenia aplikacji jest podobny do stopnia zabezpieczenia Windows CE, czyli - w ogóle nie istnieje. Po tym jak aplikacja znajdzie się w systemie, będzie posiadała całkowitą kontrolę nad wszystkimi funkcjami. Na szczęście, nie wykryto jeszcze luki w przetwarzaniu MMS-ów i połączeń Bluetooth dla tej platformy. Łatwo można sobie wyobrazić, co by się stało, gdyby szkodniki takie jak Cabir lub Comwar mogły przeniknąć do systemu i automatycznie się uruchomić.

Symbian jest bardziej zamkniętym systemem niż Windows CE. Aby stworzyć w pełni funkcjonalne aplikacje dla Symbiana, potrzebny jest specjalny zestaw narzędzi programistycznych, które kosztują dziesiątki tysięcy dolarów. Jednak liczba programów trojańskich dla Symbiana świadczy o tym, że luki w architekturze systemów operacyjnych umożliwiają twórcom wirusów wykorzystanie powszechnie dostępnych narzędzi.

Sytuacja jest paradoksalna: Symbian jest popularniejszy niż Windows CE, jednak system ten zawiera mniej znanych, poważnych luk. Według nas, istnieje tylko jedno wytłumaczenie - obecnie naukowcy nie są tak skoncentrowani na Symbianie jak na produktach Microsoftu. Jednak nawet pobieżny rzut oka i kilka prostych eksperymentów pokazują, że Symbian posiada mnóstwo błędów. Jako przykład opiszemy błąd, który nadal może być traktowany jako nieznany. Informacje o nim otrzymaliśmy od jednego z naszych użytkowników, następnie sprawdziliśmy je i dokonaliśmy reprodukcji w naszym laboratorium testowym.

Zagrożone są telefony działające pod kontrolą systemu Symbian Series 6.x. Testy zostały przeprowadzone na aparatach Siemens SX-1 i Nokia 3650.

Aby wykorzystać tę lukę, trzeba tylko stworzyć plik o nazwie "INFO.wmlc" z 67 spacjami pomiędzy INFO i kropką. Zawartość tego pliku może być dowolna, ważne aby zajmowała więcej niż 2 bajty. Jeśli plik ten zostanie wysłany na inne urządzenie za pośrednictwem technologii Bluetooth lub poprzez port podczerwieni (plik mógłby też zostać wysłany jako MMS lub umieszczony na stronie www i otworzony podczas jej odwiedzania, jednak nie zostało to przetestowane), odbiorca, po otworzeniu wiadomości, zobaczy komunikat o błędzie z następującą treścią: "App. closed AppArcServerThread USER 8". Następnie telefon zacznie działać coraz wolniej, a po ponownym uruchomieniu telefonu niektóre aplikacje mogą zupełnie przestać funkcjonować.

Jest to klasyczna luka typu "denial of service" utrudniająca lub uniemożliwiająca normalną pracę z urządzeniem. Luka "wmlc" dotyczy standardowej przeglądarki. Podczas przetwarzania niestandardowej nazwy pliku pojawia się błąd w komponencie odpowiadającym za uruchomienie przeglądarki. Nie przeprowadziliśmy szczegółowej analizy luki, możliwe jest jednak, że pozwala ona również na wykonanie dowolnego kodu.

Powyższe informacje należy traktować jako oficjalne zawiadomienie firmy Symbian o istnieniu luki.

Symbian, producenci smartfonów, które wykorzystują ten system operacyjny, oraz programiści spotkali się już z wirusami dla tego systemu operacyjnego i podejmują wszelkie możliwe działania, aby następna wersja Symbiana posiadała maksymalną ochronę przed tym rodzajem złośliwego kodu. Ostatnio pojawiły się informacje o implementowaniu architektury dla chronionej aplikacji, podobnej do technologii TrustingComputer, która została zaimplementowana w niektórych procesorach PC. Planuje się również stworzenie "chronionego obszaru pamięci", do którego dostęp będą miały tylko zaufane aplikacje. W zasadzie podejście to może rozwiązać problem prymitywnych programów-wandali, takich jak Skuller, nie rozwiąże jednak kwestii luk w systemie operacyjnym i jego aplikacjach. Dodatkowo, nie powinniśmy zapominać jednego z praw rządzących światem wirusów: "Wirus może zrobić wszystko, co użytkownik w systemie". Oznacza to, że robaki, które wysyłają własne kopie za pośrednictwem technologii Bluetooth i MMS będą nadal stanowić zagrożenie, przynajmniej w najbliższej przyszłości.

Artykuł ten nie zawiera szczegółowego omówienia luk w technologii Bluetooth i WiFi. Każdy, kto jest zainteresowany tym tematem, może zdobyć informacje od takich grup, jak Trifinite i Pentest. My również opublikowaliśmy informacje na ten temat. Jedyną rzeczą, o jakiej należy tu wspomnieć, jest to, że pomimo licznych luk w protokołach bezprzewodowych dla urządzeń przenośnych twórcy wirusów nie zaczęli jeszcze ich wykorzystywać. Nie mamy jednak wątpliwości, że luki te będą wykorzystywane w najbliższej przyszłości.

Źródło:
Kaspersky Lab