WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Mã độc trên Mac lạm dụng ứng dụng hợp pháp để theo dõi người dùng
Patrick Wardle, giám đốc nghiên cứu tại Synack, chỉ ra rằng trong khi mã độc trên OS X có thể gặp khó khăn khi quay video qua webcam mà không cảnh báo nạn nhân, nguy cơ có thể bám trên ứng dụng hợp pháp để âm thầm do thám người dùng.
Khi một ứng dụng như FaceTime hoặc Skype kích hoạt webcam tích hợp sẵn, người dùng sẽ thấy đèn LED trên webcam sáng. Một loại mã độc có chức năng giám sát hệ thống bị lây nhiễm để có các phiên video hợp pháp do người dùng tạo ra có thể bám vào phiên này và bí mật quay lén nạn nhân.
Wardle đã phát triển mã độc PoC có thể phát hiện các camera được cài đặt và theo dõi tình trạng của camera đó nhằm xác định khi nào một phiên video bắt đầu và kết thúc. Nếu phát hiện một phiên, mã độc bắt đầu ghi lại dữ liệu âm thanh và video, và dừng lại khi quá trình bắt đầu phiên đó thoát ra.
Điều đáng chú ý là mã độc không cần phải tiêm mã vào quá trình mục tiêu. Thay vào đó, mã độc sử dụng phiên làm việc đã có và chỉ thị LED đã được kích hoạt để ghi lại dữ liệu từ webcam mà không bị phát hiện.
Mã độc này có một số lợi thế gồm không yêu cầu quyền root (tức là cuộc tấn công có thể được thực hiện bởi bất kỳ mã hoặc ứng dụng không được sandbox), và lợi dụng tính năng hợp pháp của hệ điều hành, làm cho mã độc rất khó ngăn chặn.
Wardle chưa thấy có bất kỳ dòng mã độc trên OS X tận dụng kỹ thuật này trong thực tế, nhưng tin rằng nguy cơ như vậy không khó tạo ra.
Nhà nghiên cứu cho biết đã thông báo với Apple về phương pháp tấn công, nhưng có vẻ như Apple sẽ không giải quyết vấn đề này sớm.
Wardle cũng phát triển một công cụ để phát hiện các kiểu tấn công này.
Theo SecurityWeek
Khi một ứng dụng như FaceTime hoặc Skype kích hoạt webcam tích hợp sẵn, người dùng sẽ thấy đèn LED trên webcam sáng. Một loại mã độc có chức năng giám sát hệ thống bị lây nhiễm để có các phiên video hợp pháp do người dùng tạo ra có thể bám vào phiên này và bí mật quay lén nạn nhân.
Wardle đã phát triển mã độc PoC có thể phát hiện các camera được cài đặt và theo dõi tình trạng của camera đó nhằm xác định khi nào một phiên video bắt đầu và kết thúc. Nếu phát hiện một phiên, mã độc bắt đầu ghi lại dữ liệu âm thanh và video, và dừng lại khi quá trình bắt đầu phiên đó thoát ra.
Điều đáng chú ý là mã độc không cần phải tiêm mã vào quá trình mục tiêu. Thay vào đó, mã độc sử dụng phiên làm việc đã có và chỉ thị LED đã được kích hoạt để ghi lại dữ liệu từ webcam mà không bị phát hiện.
Mã độc này có một số lợi thế gồm không yêu cầu quyền root (tức là cuộc tấn công có thể được thực hiện bởi bất kỳ mã hoặc ứng dụng không được sandbox), và lợi dụng tính năng hợp pháp của hệ điều hành, làm cho mã độc rất khó ngăn chặn.
Wardle chưa thấy có bất kỳ dòng mã độc trên OS X tận dụng kỹ thuật này trong thực tế, nhưng tin rằng nguy cơ như vậy không khó tạo ra.
Nhà nghiên cứu cho biết đã thông báo với Apple về phương pháp tấn công, nhưng có vẻ như Apple sẽ không giải quyết vấn đề này sớm.
Wardle cũng phát triển một công cụ để phát hiện các kiểu tấn công này.
Theo SecurityWeek