En ny Android-sårbarhed opdaget af MWR InfoSecurity beskriver, hvordan apps kan narre brugere til at optage deres skærme uden deres viden.
Android er på milliarder af enheder verden over, og nye sårbarheder opdages hver dag. Nu, en udnyttelse opdaget af MWR InfoSecurity detaljer, hvordan applikationer i Android-versioner mellem 5.0 og 7.1 kan narre brugere til at optage skærmindhold uden deres viden.
Det involverer Android Medieprojektion framework, som blev lanceret med 5.0 Lollipop og gav udviklere mulighed for at fange en enheds skærm og optage systemlyd. I alle Android-versioner før 5.0 Lollipop skulle skærmgribende applikationer køre med root-rettigheder eller skulle signeres med særlige nøgler, men i nyere versioner af Android behøver udviklere ikke root-privilegier for at bruge MediaProjection-tjenesten og er ikke forpligtet til at erklære tilladelser.
Normalt anmoder en applikation, der bruger MediaProjection-rammerne, adgang til tjenesten via en hensigt, som Android præsenterer for brugeren som en SystemUI-pop-up.
MWR InfoSecurity opdagede, at en angriber kunne overlejre en normal SystemUI-pop-up med et lokkemiddel for at narre brugeren til at give applikationen tilladelse til skærmoptagelse. Grunden? Android-versioner nyere end 5.0 Lollipop er ikke i stand til at registrere SystemUI-pop-ups, der er delvist skjult.Denne sårbarhed er i øjeblikket kun blevet rettet Android 8.0 Oreo, hedder det i rapporten, og fordi et flertal af Android-smartphones ikke kører den nyeste version af Android, er det fortsat en alvorlig risiko. Cirka 77,5 % af aktive Android-enheder er sårbare over for angrebet pr. 2. oktober, ifølge MWR InfoSecurity.
Der er ingen kortsigtet løsning på opgraderingsproblemet - det er på telefonproducenterne. I mellemtiden kan Android-udviklere dog forsvare sig mod angrebet ved at aktivere FLAG_SECURE layout parameter via deres applikations WindowManager, som sikrer, at indholdet af applikationen vinduer behandles som sikre og forhindrer dem i at blive vist i skærmbilleder eller i at blive vist på ikke-sikre viser.
På den brugervendte side af tingene, MWR InfoSecurity tilføjer, at dette angreb ikke er fuldstændig uopdagelig. Rapporten siger:
"Når en applikation får adgang til MediaProjection Service, genererer den en virtuel skærm, som aktiverer screencast-ikonet i meddelelseslinjen. Hvis brugere ser et screencast-ikon i deres enheds meddelelseslinje, bør de undersøge den applikation/proces, der i øjeblikket kører på deres enheder."
Moralen i historien? Vær forsigtig med, hvilke apps du downloader.
Kilde: MWR InfoSecurity