Exploatare mantie și pumnal: ceea ce trebuie să știi

O nouă exploatare Android a fost dezvăluită, numită Cloak & Dagger și, fidel denumirii sale, descrie modalitățile prin care aplicațiile neintenționate pot profita de două permisiuni Android pentru a fura apăsări de taste și pentru a păcăli utilizatorii în divulgarea informațiilor personale.

Dar este periculos? Să o dărâmăm repede.

Ce este Cloak & Dagger?

Cloak & Dagger este numele unei combinații de două permisiuni Android exploatabile care, atunci când sunt utilizate independent sau separat printr-o aplicație neintenționată, pot avea consecințe grave.

A fost publicată ca dovadă a conceptului de către o echipă formată din patru persoane la Institutul de Tehnologie din Georgia și Universitatea din California, Santa Barbara.

Nu este o exploatare activă și până în prezent nu au existat utilizări publice cunoscute ale acesteia.

Cum functioneazã?

Potrivit echipei, Cloak & Dagger profită de două permisiuni Android - SYSTEM_ALERT_WINDOW ("trageți deasupra") și BIND_ACCESSIBILITY_SERVICE ("a11y") - care, atunci când lucrați împreună sau separat, face posibilă o aplicație să "asculte" și fie furați introducerea de text, cum ar fi parole, numere de autentificare cu doi factori sau date personale.

Cloak & Dagger este o nouă clasă de atacuri potențiale care afectează dispozitivele Android. Aceste atacuri permit unei aplicații rău intenționate să controleze complet bucla de feedback a UI și să preia dispozitivul - fără a oferi utilizatorului șansa de a observa activitatea dăunătoare. Aceste atacuri necesită doar două permisiuni care, în cazul în care aplicația este instalată din Play Store, utilizatorul nu are nevoie să acorde în mod explicit și pentru care nu este nici măcar notificat. Studiul nostru de utilizatori indică faptul că aceste atacuri sunt practice.

Permisiunea „extrage pe partea de sus” este cunoscută sub denumirea de funcție de suprapunere Android și este utilizată de multe aplicații precum Facebook Messenger și funcția Multi Windows pentru Samsung pentru a permite „ferestre” care pot fi reduse la minimum și mutate în partea de sus a altor aplicații.

Cum funcționează exploatarea?

Deoarece ambele permisiuni nu fac parte din sistemul de acordare a permisiunilor explicite de Android, care a început în Android 6.0 Marshmallow, atunci când o aplicație rău intenționată este descărcată, aplicația poate acorda automat permisiunea „extrage în sus”.

Odată ce se întâmplă asta, aplicația, odată deschisă, poate crea o suprapunere în partea de sus a unei aplicații cunoscute, cum ar fi Facebook, pentru a „phish” introducerea ca parole. De asemenea, se poate suprapune pe partea de sus a tastaturii Android, preluând tot textul introdus.

Permisiunea de accesibilitate este puțin mai dificilă pentru a forța un utilizator să o activeze, dar echipa spune că dovada sa de concept a folosit permisiunea de suprapunere pentru a păcăli utilizatorii să o activeze. Odată ce ambele sunt activate, o aplicație „modul dumnezeu” poate fura date din orice aplicație utilizată pe telefon.

Toată lumea este afectată

Cloak & Dagger afectează toate versiunile Android, conform echipei, inclusiv Android 5.0, 6.0 și 7.0, până la ultima versiune a Android 7.1.2.

Android 7.0 și versiuni anterioare face un pic mai dificil ca unele dintre exploatările de suprapunere să funcționeze, dar o anumită ingeniozitate poate totuși să-l ocolească.

Ar trebui să vă faceți griji?

În momentul de față, nu există aplicații cunoscute care să profite de aceste permisiuni în scopuri rău intenționate, deși acum când sunt publice, acestea se pot schimba. Echipa a publicat cercetarea pentru a forța mâna Google să îmbunătățească experiența, deoarece, spre deosebire de alte vulnerabilități Android, aceste exploatări profită de defectele de proiectare în autorizațiile în sine, nu de găuri sau bug-uri în software.

Ce poți face pentru a te proteja?

Aceasta nu va fi o problemă pentru dvs. dacă sunteți atenți la aplicațiile pe care le utilizați.

De multe ori se fac multe din defectele de securitate ale Android, dar Cloak & Dagger nu este un lucru de care trebuie să vă faceți griji, atâta timp cât sunteți atenți la acordarea permisiunilor de acoperire.

Pentru a atenua efectele potențiale ale Cloak & Dagger, este bine să analizați ce aplicații pot crea suprapuneri în partea de sus a sistemului Android. La majoritatea versiunilor Android, iată cum se face:

1. Deschideți Setările Android.
2. Derulați în jos și atingeți Aplicații.
3. Atingeți pictograma Meniu sau Cog.
4. Găsiți și atingeți acces special. De obicei se află la rubrica „Advanced”.
5. Atingeți Desenați peste alte aplicații. Acestea sunt aplicațiile care pot crea suprapuneri folosind permisiunea de mai sus.
6. Dezactivați orice aplicație pe care nu o recunoașteți.

Mai mult: Cum dezactivați suprapunerea ecranului pe Galaxy S8

Nu te panica!

Serios, nu este mare lucru dacă ești atent la aplicațiile pe care le descarci, mai ales că acum Google scanează 50 de miliarde de aplicații pentru malware în fiecare zi folosind sistemul Play Protect.

Sperăm că Google va soluționa public această problemă sau cel puțin va oferi unele clarificări despre ceea ce intenționează să facă cu suprapunerile aplicațiilor. Android O ar trebui să elimine cu totul această problemă refactorizând problema suprapunerii cu o nouă API, dar nu este clar cum sau dacă Google intenționează să abordeze problema cu privire la versiunile anterioare.