يستخدم Cloak And Dagger Exploit التراكبات وخدمات إمكانية الوصول لاختطاف النظام

click fraud protection

إن ما تصورناه في XDA ذات مرة كدليل على ثغرة أمنية مفهومية تم تأكيده الآن من قبل علماء الكمبيوتر في معهد جورجيا للتكنولوجيا في أتلانتا. الفريق تفاصيل ما يسمونه "عباءة وخنجر"الثغرات التي يمكنها الاستيلاء على واجهة المستخدم لمعظم إصدارات Android (بما في ذلك الإصدار 7.1.2). ونظرًا لطبيعتها، فمن الصعب إصلاحها ومن الصعب أيضًا اكتشافها.

Cloak and Dagger عبارة عن استغلال يستفيد من إذنين للتحكم في واجهة المستخدم دون منح المستخدم فرصة لملاحظة النشاط الضار. يستخدم الهجوم إذنين: SYSTEM_ALERT_WINDOW ("ارسم على القمة") و BIND_ACCESSIBILITY_SERVICE ("a11y") شائعة الاستخدام في تطبيقات Android.

لدينا أوضحت هذا في الماضيولكن ما يجعل هذه الثغرة الأمنية خطيرة للغاية هو حقيقة أن التطبيقات التي تطلب SYSTEM_ALERT_WINDOW يتم منحها هذا الإذن تلقائيًا عند تثبيتها عبر متجر Google Play. أما بالنسبة لتمكين خدمة إمكانية الوصول، فإن التطبيق الضار قادر على هندسة المستخدم اجتماعيًا بسهولة تامة لمنحها. ويمكن أيضًا إعداد التطبيق الضار لاستخدام خدمة إمكانية الوصول لغرض شبه مشروع، مثل المراقبة عندما تكون بعض التطبيقات مفتوحة لتغيير إعدادات معينة.

وبمجرد منح هذين الإذنين، يكون عدد الهجمات التي يمكن أن تحدث عديدة. من الممكن سرقة أرقام التعريف الشخصية أو رموز المصادقة الثنائية أو كلمات المرور أو حتى هجمات رفض الخدمة. ويرجع ذلك إلى مجموعة التراكبات التي تخدع المستخدم ليعتقد أنه يتفاعل مع ملف يتم استخدام التطبيق الشرعي وخدمة إمكانية الوصول لاعتراض النص وإدخال اللمس (أو ترحيل البيانات الخاصة به). مدخل).

لقد افترضنا مثل هذه الثغرة الأمنية قبل بضعة أشهر، حيث يمكننا إنشاء تطبيق إثبات المفهوم يستخدم SYSTEM_ALERT_WINDOW و BIND_ACCESSIBILITY_SERVICE من أجل رسم تراكب على شاشة إدخال كلمة المرور في تطبيق XDA Labs واعتراض إدخال المفتاح للتمرير كلمات المرور. هذا التطبيق الذي تصورناه سيكون تطبيقًا لإدارة التدوير التلقائي والذي سيستخدم تراكبًا لأغراض رسم مربع غير مرئي على الشاشة التحكم في التدوير (بدلاً من طلب WRITE_SETTINGS الذي من شأنه رفع العلامات) وخدمة إمكانية الوصول للسماح للمستخدم بالتحكم في ملفات التعريف بالتدوير التلقائي على كل تطبيق أساس. من الناحية النظرية، قد يكون هذا أحد الأمثلة على تطبيق يستخدم "cloak-and-dagger". ومع ذلك، لم يكن أي من أعضاء فريقنا على استعداد للمخاطرة بهم حسابات المطورين من خلال تحدي أنظمة فحص التطبيقات الآلية من Google لمعرفة ما إذا كان سيتم السماح باستغلال إثبات المفهوم الخاص بنا على Play محل.

على أية حال، قام هؤلاء الباحثون بالعمل وقدموا طلبات اختبار لإثبات أن استخدام هذين الإذنين يمكن أن يكون بالفعل مشكلة أمنية كبيرة:

كما ترون، فإن الهجمات تكون غير مرئية للمستخدمين وتسمح بالتحكم الكامل في الجهاز. حاليًا جميع إصدارات Android بدءًا من Android 5.1.1 إلى Android 7.1.2 معرضة لهذا الأمر استغلال، نظرًا لأنه يستفيد من إذنين يستخدمان بطريقة شرعية تمامًا المقاصد.

لا تتوقع أن يأتي حل حقيقي لهذه المشكلة إلى جهازك في أي وقت قريب، على الرغم من أنه تجدر الإشارة إلى أن التغييرات التي تم إجراؤها على SYSTEM_ALERT_WINDOW في Android O سيعالج هذا الخلل جزئيًا عن طريق منع التطبيقات الضارة من الرسم بالكامل على الشاشة بأكملها. علاوة على ذلك، يقوم Android O الآن بتنبيهك عبر الإشعار إذا كان التطبيق يرسم تراكبًا بشكل نشط. مع هذين التغييرين، من غير المرجح أن يتمكن التطبيق الضار من الإفلات من الاستغلال لو المستخدم منتبه.

كيف تحمي نفسك في الإصدارات السابقة لنظام Android O؟ كما هو الحال دائمًا، قم بتثبيت التطبيقات التي تثق بها فقط من المصادر التي تثق بها. تأكد من أن الأذونات التي يطلبونها تتوافق مع ما تتوقعه.

أما بالنسبة لمئات الملايين من المستخدمين العاديين، وفقًا لمتحدث باسم Google حماية متجر Play سيوفر أيضًا الإصلاحات اللازمة لمنع هجمات العباءة والخناجر. من غير الواضح كيف سيتم تحقيق ذلك بالضبط، ولكن نأمل أن يتضمن ذلك طريقة ما لاكتشاف متى يتم استخدام هذين الإذنين بشكل ضار. أشك في أنه سيكون قادرًا على اكتشاف كل هذه الحالات، لذا فمن الأفضل لك على أي حال مراقبة الأذونات الممنوحة لكل تطبيق تقوم بتثبيته.