Nie tylko WhatsApp – zagrożenie 0-day cały czas aktualne

W poniedziałek świat obiegła informacja o luce w popularnej aplikacji WhatsApp, dzięki której hakerzy byli w stanie zainstalować złośliwe oprogramowanie na telefonach swoich ofiar. Specjaliści z firmy Proget, specjalizującej się w bezpieczeństwie urządzeń mobilnych, przypominają, że ataki 0-day, polegające na wykorzystaniu niezidentyfikowanej wcześniej podatności, by włamać się do systemu ofiary, przez cały czas pozostają poważnym zagrożeniem dla firmowych danych.

Czym są luki typu 0-day? To podatności oprogramowania i sprzętu, do których producent danego rozwiązania nie zdążył wydać jeszcze stosownej łatki, a bardzo często nie wie nawet o ich istnieniu. Są to zagrożenia bardzo powszechne. Można założyć, że dotyczą one większości popularnych programów, szczególnie tych o bardziej złożonej funkcjonalności i rozbudowanym kodzie źródłowym. Czy należy się ich obawiać? Tak – jeśli daną podatność jako pierwsi odkryją hakerzy, mogą ją bezkarnie wykorzystywać w swoich atakach bez ryzyka, że „furtka” zostanie zamknięta przez producenta danego rozwiązania za pomocą stosownej łatki.

Typowym przykładem zagrożenia 0-day jest podatność w aplikacji WhatsApp, o której media doniosły na początku tego tygodnia. Luka pozwalała zainstalować na smartfonie ofiary złośliwe oprogramowanie poprzez wykonanie odpowiednio spreparowanego połączenia. Do czasu wydania aktualizacji przed atakiem nie można się było w żaden sposób zabezpieczyć. Nawet nieodebranie połączenia nie pozwalało uniknąć infekcji. Producent szybko zareagował na zagrożenie i wydał stosowną łatkę, jednak była to reakcja spóźniona. Jeszcze przed wykryciem luki została ona wykorzystana do instalacji na smartfonach grupy działaczy na rzecz praw człowieka groźnego malware Pegasus.

WhatsApp to nie jedyny przykład podatności 0-day

WhatsApp nie jest jednak jedyną aplikacją, o której w ostatnich latach zrobiło się głośno w związku z atakami 0-day. Raptem przed kilkoma tygodniami pojawiły się doniesienia o groźnej luce w silniku Chromium, wykorzystywanym w szeregu popularnych przeglądarek internetowych, w tym m.in. Google Chrome i Opera. Także w tym przypadku pozwalała ona na zdalną instalację złośliwego oprogramowania na smartfonach ofiar. Podobne możliwości dawała hakerom luka w kojarzonym z uważanym powszechnie za bardzo bezpieczny komunikatorze Telegram. Dzięki wykorzystaniu jednego ze znaków unicode można było przemycić na urządzenie ofiary złośliwy kod zakamuflowany jako pozornie nieszkodliwy plik innego rodzaju (np. zdjęcie).

Sytuacje tego typu dotyczą jednak nie tylko aplikacji firm trzecich, a podatności można znaleźć także w samych systemach operacyjnych. Przykładem może tutaj być luka Stagefright, która pozwalała przejąć kontrolę nad niemal każdym smartfonem z Androidem za pomocą odpowiednio spreparowanej wiadomości MMS. Użytkownicy iPhone’ów również nie mogą czuć się w pełni bezpieczni – tylko na początku tego roku badacze z Google Project Zero odkryli trzy aktywnie wykorzystywane podatności typu 0-day w systemie iOS.

Jak zabezpieczyć firmowe smartfony?

Podatności typu 0-day są wyjątkowo niebezpieczne, ponieważ tego typu pułapki mogą czaić się w każdym programie, narażając firmy oraz zwykłych użytkowników na kradzież prywatnych informacji. Piotr Kudrys z Proget, polskiej firmy zajmującej się bezpieczeństwem urządzeń mobilnych, radzi co zrobić, by zminimalizować zagrożenie.

- Przede wszystkim należy pamiętać, że mniejsza liczba aplikacji na smartfonie oznacza mniej potencjalnych luk, z których mogą skorzystać hakerzy. Warto wziąć to pod uwagę i ograniczyć ich listę tylko do tych, które są nam rzeczywiście niezbędne oraz pochodzą od zaufanych dostawców. Co prawda to drugie samo w sobie nie jest jeszcze gwarancją bezpieczeństwa, jednak szanse, że dana podatność zostanie wykryta i załatana zanim wykorzystają ją hakerzy, są w przypadku popularnych aplikacji znacznie wyższe. Bardzo ważne jest także pilnowanie, by wszystkie zainstalowane na urządzeniu aplikacje były na bieżąco aktualizowane.

Piotr Kudrys

Proget

W środowisku firmowym bardzo pomocny może się okazać system do zdalnego zarządzania urządzeniami mobilnymi (Mobile Device Management, MDM). Dzięki takiemu rozwiązaniu administrator może kontrolować, jakie aplikacje są zainstalowane na wykorzystywanych wewnątrz organizacji smartfonach. Pozwala to ograniczyć ich listę wyłącznie do tych niezbędnych i wymaganych, a w razie konieczności zdalnie je zablokować lub nawet usunąć. - Jest to przydatne szczególnie w sytuacjach, kiedy pracownicy korzystają z tego samego urządzenia do celów służbowych i prywatnych, instalując dodatkowe aplikacje bez konsultacji z administratorem – wyjaśnia Piotr Kudrys z Proget.

Opisywane powyżej działania pozwalają znacząco ograniczyć ryzyko padnięcia ofiarą ataku 0-day, jednak nie są w stanie wyeliminować go całkowicie. Najważniejsze to zachować czujność i reagować, jeśli tylko zobaczymy coś niepokojącego w działaniu smartfona lub którejś z zainstalowanych na nim aplikacji. Dzięki temu nawet jeśli nasza firma znajdzie się na celowniku hakerów, w dalszym ciągu mamy szansę uchronić ją przed najbardziej dotkliwymi konsekwencjami, także finansowymi.