Отключение файлового монитора

[A. 875]

Товарищу Свириденко стоит поучить историю собственной конторы, у которой в разряд "треша" последовательно попадало все, что они сделать не могли или по глупости не хотели - начиная от антивируса для Windows и до файрволлов с cloud-ами.

Хорошо хоть в отношении мобильных угроз наконец-то включили мозг.

[Alex Gorgeous 35]

Здесь мне так видится, что отображение статуса состояния антивируса -- вещь из серии "писями по воде вилано", ибо монитор отрубил, заразу на носитель посадил, аппарат отдал, никто на то, что цвет иконки поменялся, внимания не обратил, или обратил, но с большой временнОй задержкой.

А в случае того же пароля, повторюсь, мне придётся обратиться к владельцу аппарата, и объяснять цель того, зачем я хочу отключить монитор. А этого нет.

Применительно к использованию пароля для изменения настроек - отчасти логично, но все же тоже может не спасти. Если я не ошибаюсь, например, в KMS для Android ввод пароля происходит на начальном этапе при входе в настройки. Можно уболтать владельца на посмотреть что там внутри.

Хотя если не разрешит, можно уже пробовать убить сервисы, а потом снова перезапустить рестартом (хоть самого телефона).

На счёт рута -- как я говорил выше, в DreamDroid в поставке шёл файл, как раз для этих целей (судя из описания в комментариях к нему на VT).

Тут да, если антивирус не поймал, то возможен рут с соответствующими последствиями. И уже и пароль врят ли поможет.

[Umnik 997]

Думаете, сервисы нельзя сбить?!

Мммм, не замечал, чтобы киллеры смогли снести снести сервис монитора заряда батареи, к примеру. Без рута, конечно.

[K_Mikhail 807]

Применительно к использованию пароля для изменения настроек - отчасти логично, но все же тоже может не спасти. Если я не ошибаюсь, например, в KMS для Android ввод пароля происходит на начальном этапе при входе в настройки.

А KMS, как я понимаю, есть хоть что-то, затрудняющее те действия, которые я описывал в своём исходном посте. При установленном Dr.Web for Android достаточно лишь держать аппарат монитором к себе, чтобы бы владелец не увидел, что я полез выключать SpIDerGuard. Никаких confirm-alerts\паролей\каптчей, никаких звуков, никаких вибросигналов.

Можно уболтать владельца на посмотреть что там внутри.

На что уйдёт много времени -- пока уболтаешь, и уболтаешь ли вообще.

А так -- отключил себе тихенько монитор (как сейчас SpIDerGuard), с бесстрастным видом посадил что-нибудь на SD-карту и всё -- первый шаг сделан: транспорт для дальнейшего распространения вредоноса есть (допустим, тот же Exploit.Cpllnk+Win32.Sector). Если бы при отключении SpIDerGuard срабатывал вибро (хотя бы!), владелец бы сразу попросил вернуть телефон, потому как мог подумать, что пришла смс-ка.

Т.е. фактически, риск успешного осуществления посадки чего-либо вредоносного на телефон и\или SD-карту снизился бы до 0.

Хотя если не разрешит, можно уже пробовать убить сервисы, а потом снова перезапустить рестартом (хоть самого телефона).

Если не разрешит, то владелец просто заберёт свой аппарат, и на этом всё закончится.

Тут да, если антивирус не поймал, то возможен рут с соответствующими последствиями. И уже и пароль врят ли поможет.

В данном случае, и этого нет.

[Viktor 669]

Мммм, не замечал, чтобы киллеры смогли снести снести сервис монитора заряда батареи, к примеру. Без рута, конечно.

Имеется ввиду сторонняя утилита а-ля Battery Life?

Если да, то продолжите рассуждать логическим сами. Не замечали потому что

- не хотели замечать

или

- авторы утилиты сделали то, что не смогли сделать авторы антивирусов.

Вы к которому варианту склоняетесь?

[a.sviridenko 15]

Товарищу Свириденко стоит поучить историю собственной конторы, у которой в разряд "треша" последовательно попадало все, что они сделать не могли или по глупости не хотели - начиная от антивируса для Windows и до файрволлов с cloud-ами.

Пинали бы хоть по делу, а не вспоминали свои детские травмы десятилетней давности. Хотя не спорю, весело припомнить какой-нибудь старый косяк. Я вот тоже жду возможности напомнить Виктору про "невидимый" сервис.

[Alex Gorgeous 35]

А KMS, как я понимаю, есть хоть что-то, затрудняющее те действия, которые я описывал в своём исходном посте. При установленном Dr.Web for Android достаточно лишь держать аппарат монитором к себе, чтобы бы владелец не увидел, что я полез выключать SpIDerGuard. Никаких confirm-alerts\паролей\каптчей, никаких звуков, никаких вибросигналов.

Вы опять приписываете этот "недостаток" только Dr.Web, хотя так можно сделать с любым антивирусом (кроме, наверно, KMS).

Однако здесь стоит кое-что уточнить:

На что уйдёт много времени -- пока уболтаешь, и уболтаешь ли вообще.

А так -- отключил себе тихенько монитор (как сейчас SpIDerGuard), с бесстрастным видом посадил что-нибудь на SD-карту и всё -- первый шаг сделан: транспорт для дальнейшего распространения вредоноса есть (допустим, тот же Exploit.Cpllnk+Win32.Sector). Если бы при отключении SpIDerGuard срабатывал вибро (хотя бы!), владелец бы сразу попросил вернуть телефон, потому как мог подумать, что пришла смс-ка.

Т.е. фактически, риск успешного осуществления посадки чего-либо вредоносного на телефон и\или SD-карту снизился бы до 0.

Какова цель этих действий? Допустим, вы хотите через SD-карту телефона заразить компьютер владельца вирусом. Отлично. Но как вы забросите его вместе с автораном/эксплойтом на карту? Один из способов - закачать из интернета по заранее приготовленной ссылке. Но это маловероятно, т.к., во-первых, нужен интернет (вдруг у человека он не подключен/нет денег и т.п.?), во-вторых, это долго, т.к. сначала вам нужно закачать файлы (а они в подавляющем случае попадут в общую папку закачек), затем из этой папки перенести их в корень карты, что тоже может стать проблемой, т.к. в телефоне может не оказаться файлового менеджера - ну вдруг не нужен он пользователю.

Еще один способ - по BT. Но это опять подозрительно, что ты там качаеешь? А ну-ка покажи.

Допустим, вам удалось заразить карту и не вызвать подозрений. Но ведь на компьютере пользователя с очень большой долей вероятности будет стоять антивирус, который также с большой долей вероятности сможет найти вирус до его проникновения в систему. Плюс, обновления системы (которые будут присутствовать с некоторой долей вероятности) не позволят сработать авторану и/или эксплойту.

Отсюда получаем несколько проблем, с которыми, скорее всего, столкнется желающий заразить карту->компьютер.

Если же вы хотите заразить сам телефон вирусом/трояном/шпионом, то тогда будут практически те же проблемы (до компьютерной составляющей ) плюс еще одна: если вы захотите заразить именно телефон, то программа, которую вы попытаетесь поставить, должна быть неизвестна антивирусу, иначе он ее поймает после перезагрузки или после первого же сканирования.

Плюс ко всему, если ваша цель заразить сам телефон (конечно же желательно неизвестной антивирусу программой), то защита от отключения монитора не поможет в любом случае, т.к. антивирус всё равно не знает вирус). А если знает, то найдет его в ближайшее время.

Да, теоретически уязвимость легкого отключения файлового монитора есть у большинства антивирусов, но попытка такого целенаправленного заражения столкнется с весьма большими сложностями и маловероятна. Если же вы решитесь на подобный шаг, думаю, будете использовать более хитрые способы. И антивирусы не помогут.

[K_Mikhail 807]

Вы опять приписываете этот "недостаток" только Dr.Web, хотя так можно сделать с любым антивирусом (кроме, наверно, KMS).

Если бы я хотел приписать этот недостаток (именно без кавычек) только Dr.Web, я бы просто не стал в своём же исходном сообщении задавать вопрос:

Интересно, насколько просто отключается файловый монитор в др. продуктах под Android со стороны пользователя?

и, тем более, почти сразу же его повторять:

Собственно, вопрос -- насколько просто отключается файловый монитор в др. продуктах под Android со сторону пользователя и насколько данная лёгкость оправдана? Мне зиждется, что, всё же, необходимо затруднить отключение монитора файловой системы.

дабы подчеркнуть тот момент -- только ли в Dr.Web наличествует такая лёгкость остановки проверки файловой системы?

Dr.Web был просто установлен на телефоне, не более.

Однако здесь стоит кое-что уточнить:

Какова цель этих действий? Допустим, вы хотите через SD-карту телефона заразить компьютер владельца вирусом. Отлично. Но как вы забросите его вместе с автораном/эксплойтом на карту? Один из способов - закачать из интернета по заранее приготовленной ссылке. Но это маловероятно, т.к., во-первых, нужен интернет (вдруг у человека он не подключен/нет денег и т.п.?), во-вторых, это долго, т.к. сначала вам нужно закачать файлы (а они в подавляющем случае попадут в общую папку закачек), затем из этой папки перенести их в корень карты, что тоже может стать проблемой, т.к. в телефоне может не оказаться файлового менеджера - ну вдруг не нужен он пользователю.

Еще один способ - по BT. Но это опять подозрительно, что ты там качаеешь? А ну-ка покажи.

Подключение SD-карты в качестве внешнего носителя к компу\ноуту я-ля USB -- не рассматриваете?

Допустим, вам удалось заразить карту и не вызвать подозрений.

Да запросто -- отрубил монитор, подключил телефон как внешний носитель, залил Exploit.Cpllnk + тело. Да даже без тела, ибо есть вариант Lnk-downloader'а. Отключил телефон от своего компа, отдал владельцу. Но уже с "подарком".

Но ведь на компьютере пользователя с очень большой долей вероятности будет стоять антивирус, который также с большой долей вероятности сможет найти вирус до его проникновения в систему.

Хорошо, если так. И установлен MS10-046. А если нет? Всё равно ж получается, что таким образом вирус до компьютера был донесён, т.к. удалось поставить вредонос на SD, сделав его транспортом.

Плюс, обновления системы (которые будут присутствовать с некоторой долей вероятности) не позволят сработать авторану и/или эксплойту.

Есть такое понятие -- не из области ПО -- максимальная проектная авария (МПА), когда моделируется та или иная аварийная ситуация (а также ряд аварийных ситуаций) при наихудших условиях. Здесь я исхожу по аналогии -- смоделировать максимально худшую ситуацию и найти\предложить способ минимизации рисков заражения, вплоть до того, чтобы не дать возможности установить вредонос на первом же этапе -- инфицирования телефона или SD-карты.

Отсюда получаем несколько проблем, с которыми, скорее всего, столкнется желающий заразить карту->компьютер.

Никакой проблемы -- при подключении SD-карты в качестве внешнего носителя при существующей ситуации, когда можно незаметным движением пальца отключить монитор файловой системы.

Если же вы хотите заразить сам телефон вирусом/трояном/шпионом, то тогда будут практически те же проблемы (до компьютерной составляющей ) плюс еще одна: если вы захотите заразить именно телефон, то программа, которую вы попытаетесь поставить, должна быть неизвестна антивирусу,

Практика показывает (при появлении буквально недавних DreamDroidLight и KungFuDroid), что на момент своего появления они вообще никем не обнаруживаются. На VirusTotal -- 0/43.

иначе он ее поймает после перезагрузки или после первого же сканирования.

Опять забыли о том, что, подключив телефон к своему компу как внешний носитель и незаметным движением отключив монитор... ну, Вы поняли, да?...

Плюс ко всему, если ваша цель заразить сам телефон (конечно же желательно неизвестной антивирусу программой), то защита от отключения монитора не поможет в любом случае, т.к. антивирус всё равно не знает вирус). А если знает, то найдет его в ближайшее время.

А за это "ближайшее время" троян отошлёт SMS или данные телефона злоумышленнику...

И, при этом же, какой-либо механизм привлечения внимания владельца телефона (вибросигнал при попытке отключить монитор\ ввод пароля) сведёт манипуляции с попыткой отключить монитор к минимуму, ибо владелец спросит -- "А чего это мой телефон зажужжал? Дай сюда...." Вот тут факт попытки с моей стороны отключения монитора и вскрывается. А далее следует вопрос -- зачем именно я хотел это сделать?

Да, теоретически уязвимость легкого отключения файлового монитора есть у большинства антивирусов, но попытка такого целенаправленного заражения столкнется с весьма большими сложностями и маловероятна. Если же вы решитесь на подобный шаг, думаю, будете использовать более хитрые способы. И антивирусы не помогут.

Не нужно искать сложности там, где их нет, тем более, если нет никакого механизма противодействия -- безмолвно вырубается монитор, аппарат подключается как внешний носитель.

[Umnik 997]

Имеется ввиду сторонняя утилита а-ля Battery Life?

Системная.

[Viktor 669]

Хотя не спорю, весело припомнить какой-нибудь старый косяк. Я вот тоже жду возможности напомнить Виктору про "невидимый" сервис.

Не огрызайтесь и не выставляйте себя в дурном свете, я за свои слова готов ответить, но заниматься вашим обучением я не готов. Если вы чего-то не умеете - это ваша головная боль, а не моя

Имеется ввиду сторонняя утилита а-ля Battery Life?

Системная.

Вы сами ответили на свой вопрос. Не ждите от 3rd party приложений того же, чего от системных, возможности разные...

[Umnik 997]

Вы сами ответили на свой вопрос. Не ждите от 3rd party приложений того же, чего от системных, возможности разные...

Имея root - можно.

/system/app/file.apk rw-r--r--

[Viktor 669]

Имея root - можно.

/system/app/file.apk rw-r--r--

Второго винта у меня для вас нет

[Umnik 997]

Да не Это лишь указание, что технически возможно. Правильный шаг - договориться с Гуглом и/или производителями смартфонов.

[Alex Gorgeous 35]

K_Mikhail,

Я понимаю, что Вы имеете в виду и допускаю возможность использования такого способа заражения. Но на мой взгляд, пока это маловероятно и представляет куда меньшую опасность, чем малварь, делающая рут.

[K_Mikhail 807]

K_Mikhail,

Я понимаю, что Вы имеете в виду и допускаю возможность использования такого способа заражения.

Её даже допускать не надо, ибо она вполне себе воспроизводима на практике (выделил ключевой момент.- Автор.) -- сидят два человека друг напротив друга, один просит одолжить аппарат для переноса файла, а дальше возвращает владельцу аппарат с "довеском". Причем незаметно для владельца (второй ключевой момент. -Автор.). А дальше - как повезёт с дальнейшим распространением этого "довеска" (см. пост с упоминанием МПА).

Но на мой взгляд, пока это маловероятно и представляет куда меньшую опасность, чем малварь, делающая рут.

Да не вопрос, в общем-то.

Ответ на свой вопрос я получил, а также реакцию двух производителей решений под Android. Один из них, хотя бы пока что на декларативном уровне, учитывает повторное возникновение описанной мной ситуации и сообщает, что технически реализовать механизм для затруднения перечисленных действий со стороны потенциального злоумышленника -- можно.

Второй пока идёт по пути из серии "в нашей стране реакторы не взрываются" (с) \до 1986 г.\

Вот такая аналогия возникает...

[alexgr 556]

Пинали бы хоть по делу, а не вспоминали свои детские травмы десятилетней давности.

И все травмы так стары? Или вы просто не в курсе? Или все исключительно чужие?