Man-in-the-Disk (Diskteki Adam): Android’i hacklemenin yeni ve tehlikeli bir yolu

Eylül 7, 2018

Android iyi bir işletim sistemi ve geliştiricileri güvenliğe gerçekten önem veriyor fakat bu kadar çok OS sürümü ve uygulamanın hepsiyle ilgilenmek çok zor bir iş. Bu yüzden sıklıkla dahili güvenlik mekanizmalarının çevresinden dolaşma yolları ortaya çıkıyor. Android’i hacklemenin en yeni yoluna “Man-in-the-Disk” yani “Diskteki Adam” deniyor ve bu yazıda bu yöntemden bahsedeceğiz.

“Sandbox (Korumalı alanlar)” Android güvenliğinin temelidir

Android’in ana ilkelerinden biri de tüm uygulamaların birbirinden izole olmasıdır. Bu da korumalı alan adı verilen unsurların kullanımıyla gerçekleştiriliyor. Her uygulama, özel dosyalarıyla birlikte diğer uygulamaların ulaşamadığı bir “Sandbox (korumalı alan)” içinde yaşar.

Amaçlanan şey kötü amaçlı bir uygulama Android cihazınıza girse bile, internet bankacılığı uygulamalarının kullanıcı adı ve şifresi veya mesajlaşma geçmişiniz gibi zararsız uygulamaların depoladığı verileri çalamamasını sağlamaktır. Hackerların korumalı alandan kaçış adını verdikleri bir yöntemle bu mekanizmayı aşmak için yeni yollar arıyor olması hiç şaşırtıcı değil. Zaman zaman başarılı da oluyorlar.

Örneğin, Slava Makkaveev DEF CON 26 konuşmasında tehlikeli veya şüpheli izinleri olmayan bir uygulamanın nasıl korumalı alandan kaçtığı üzerinde yoğunlaştı. Bu yönteme ünlü Man-in-the-Middle (Ortadaki Adam) türü saldırıdan yola çıkarak “Man-in-the-Disk (Diskteki Adam)” adını verdi.

Man-in-the-Disk nasıl çalışır?

Uygulama dosyalarını barındıran korumalı alanlar dışında Android’de “Harici Depolama” gibi bir ada sahip, paylaşılan bir harici depolama vardır. Bir uygulama depolamaya erişmek için kullanıcıdan izin istemek zorundadır: “Cihazınızdaki fotoğraflara, medyaya ve dosyalara erişim” (aslında hem okuma hem yazma için iki izindir READ_EXTERNAL_STORAGE ve WRITE_EXTERNAL_STORAGE). Bu izinler genelde tehlikeli olarak düşünülmez ve neredeyse her uygulama bu izinleri ister, yani bu istekte şüpheli bir durum yoktur.

Uygulamalar akıllı telefonlarla bilgisayarlar arasında dosya değiştirmek, aktarmak gibi yararlı birçok şey için harici depolamayı kullanır. Ancak harici depolama sıklıkla internetten indirilen verileri geçici olarak depolamak için de kullanılır: Veri önce diskin paylaşılan kısmına yazılır ve ancak o zaman sadece belirli uygulamaların erişebileceği izole bölgeye aktarılabilir.

Örneğin, bir uygulama işlevselliğini, sözlükler veya güncellemeler gibi ek içeriği genişletmek amacıyla yüklediği tamamlayıcı modülleri depolamak için, paylaşılan alanı geçici olarak kullanabilir. Problem şu ki, okuma/yazma hakkına sahip harici depolamaya erişebilen bir uygulama dosyalara erişebilir, dosyaları değiştirebilir, kötü amaçlı unsurlar ekleyebilir.

Bir oyun gibi aslında çok zararsız görünen ama akıllı telefonunuza çok zararlı bir virüs bulaştırabilecek uygulamalar indirmeniz gayet olasıdır.

Android’in yaratıcıları harici depolamanın tehlikeli olabileceğinin farkındalar, hatta Android geliştirici sitesi programcılar için birkaç yardımcı ipucu bile içeriyor.

Fakat Google çalışanları ve belirli akıllı telefon üreticileri dahil olmak üzere, her uygulama geliştiricisi ne yazık ki bu tavsiyelere uymuyor. Slava Makkaveev tarafından verilen örneklere Google Çeviri, Yandex. Çeviri, Google Sesle Yazma ve Google Metin-Konuşma Motoru ve LG ve Xiaomi tarayıcı sistem uygulamaları da dahil.

Google araştırmacıları, kısa bir süre önce yaptıkları araştırmayla, aynı Man-in-the-Disk saldırısının çok popüler bir oyun olan Fortnite’ın Android versiyonuna da uygulanabildiğini keşfetti. Oyunu indirmek için kullanıcıların önce yardımcı bir uygulama indirmesi gerekiyor, bu uygulamanın amacı da oyun dosyalarını indirmek. Ancak Man-in-the-Disk saldırısı kullanılarak yardımcı uygulamanın kötü amaçlı uygulama indirmesi sağlanabildiği ortaya çıktı. Fortnite geliştiricileri Epic Games bu zaaftan haberdar ve yükleyicinin yeni bir sürümünü çıkardılar bile. Yani, Fortnite oynamak isterseniz güvenliğiniz için 2.1.0 sürümünü ve sonrasını kullanın. Fortnite telefonunuzda yüklüyse silin ve yukarıda söz ettiğimiz sürümü en baştan yükleyin.

Android’inizi Man-in-the-Disk saldırısına karşı nasıl koruyabilirsiniz?

Makkaveev durumun ne kadar kötü olduğunu anlatmak için sadece birkaç çok popüler uygulamadan bahsetti fakat bunların dışında sayısız savunmasız uygulama var.

Kendinizi nasıl koruyabilirsiniz? Kolay uygulanabilir birkaç ipucumuz var:

  • Uygulamalarınızı yalnızca Google Play gibi resmi mağazalardan yükleyin. Bu mağazalara da kötü amaçlı yazılımlar sızabiliyor fakat bu durum oldukça daha nadir görülüyor ve içeri sızan kötü amaçlı yazılımlar düzenli olarak siliniyor.
  • Akıllı telefonunuzun veya tabletinizin ayarlarından, üçüncü şahış kaynaklarından yüklemeyi devre dışı bırakın, bunlar en tehlikeli kaynaklardır. Devre dışı bırakmak için Ayarlar -> Güvenlik’e gidin ve Bilinmeyen kaynaklar’ın onay işaretini kaldırın.
  • Geliştiriciler tarafından onaylanan uygulamaları seçin. Uygulamanın puanını ve yorumlarını kontrol edin. Şüpheli görünen tüm uygulamalardan kaçının.
  • İhtiyacınız olmayan hiçbir şeyi yüklemeyin. Akıllı telefonunuzda ne kadar az uygulama varsa o kadar iyidir.
  • Artık ihtiyacınız olmayan uygulamaları kaldırmayı unutmayın.
  • Kötü amaçlı bir uygulama telefonunuza sızmaya çalıştığında size bildirim verecek güvenilir bir mobil anti-virüs uygulaması kullanın.