Нова уязвимост на Android, открита от MWR InfoSecurity, дава подробности как приложенията могат да подмамят потребителите да записват екраните си без тяхно знание.
Android е на милиарди устройства по целия свят и всеки ден се откриват нови уязвимости. Сега експлойт, открит от MWR InfoSecurity описва как приложенията във версии на Android между 5.0 и 7.1 могат да подмамят потребителите да записват съдържанието на екрана без тяхно знание.
Включва Android MediaProjection рамка, която стартира с 5.0 Lollipop и даде на разработчиците възможността да заснемат екрана на устройството и да записват аудио на системата. Във всички версии на Android преди 5.0 Lollipop, приложенията за прихващане на екрана трябваше да работят с root права или трябваше да бъдат подписани със специални ключове, но в по-новите версии на Android разработчиците не се нуждаят от root привилегии, за да използват услугата MediaProjection и не се изисква да декларират разрешения.
Обикновено приложение, което използва рамката MediaProjection, иска достъп до услугата чрез
намерение, който Android представя на потребителя като изскачащ прозорец на SystemUI. MWR InfoSecurity откри, че нападател може да наслагва нормален изскачащ прозорец на SystemUI с примамка, за да подмами потребителя да предостави на приложението разрешения за запис на екрана. Причината? Версиите на Android, по-нови от 5.0 Lollipop, не могат да открият SystemUI изскачащи прозорци, които са частично затъмнени.Тази уязвимост в момента е само коригирана Android 8.0 Oreo, се посочва в доклада, и тъй като повечето смартфони с Android не работят с най-новата версия на Android, това остава сериозен риск. Приблизително 77,5% от активните устройства с Android са уязвими на атака към 2 октомври, според MWR InfoSecurity.
Няма краткосрочно решение на проблема с надстройката - това е на производителите на телефони. Междувременно обаче разработчиците на Android могат да се защитят срещу атаката, като активират FLAG_SECURE параметър за оформление чрез WindowManager на тяхното приложение, което гарантира, че съдържанието на приложението прозорците се третират като сигурни и не им позволява да се появяват в екранни снимки или да бъдат гледани на незащитени дисплеи.
Откъм потребителската страна на нещата, MWR InfoSecurity добавя, че тази атака не е напълно неоткриваема. Докладът гласи:
„Когато дадено приложение получи достъп до услугата MediaProjection, то генерира виртуален дисплей, който активира иконата за скрийнкаст в лентата за известия. Ако потребителите видят икона за скрийнкаст в лентата за уведомяване на своите устройства, те трябва да проучат приложението/процеса, който в момента се изпълнява на техните устройства.“
Моралът на историята? Внимавайте кои приложения изтегляте.
Източник: MWR InfoSecurity