Cloak And Dagger Exploit nutzt Overlays und Barrierefreiheitsdienste, um das System zu kapern

Was wir bei Das Team beschreibt, was es nennt:Umhang und Dolch„ Exploits, die die Benutzeroberfläche der meisten Android-Versionen (einschließlich 7.1.2) übernehmen können. Aufgrund seiner Natur ist es schwer zu beheben und auch schwer zu erkennen.

Cloak and Dagger ist ein Exploit, der zwei Berechtigungen ausnutzt, um die Kontrolle über die Benutzeroberfläche zu übernehmen, ohne dem Benutzer die Möglichkeit zu geben, die bösartige Aktivität zu bemerken. Der Angriff nutzt zwei Berechtigungen: SYSTEM_ALERT_WINDOW ("oben zeichnen") Und BIND_ACCESSIBILITY_SERVICE ("a11y"), die sehr häufig in Android-Apps verwendet werden.

Wir haben habe dies bereits in der Vergangenheit dargelegt, aber was diese Schwachstelle so akut macht, ist die Tatsache, dass Anwendungen, die SYSTEM_ALERT_WINDOW anfordern, automatisch diese Berechtigung erhalten, wenn sie über den Google Play Store installiert werden. Was die Aktivierung eines Barrierefreiheitsdienstes angeht, kann eine bösartige Anwendung einen Benutzer ganz einfach durch Social Engineering dazu bringen, ihn zu gewähren. Die bösartige Anwendung könnte sogar so eingerichtet werden, dass sie einen Eingabehilfedienst für einen halblegitimen Zweck nutzt, etwa um zu überwachen, wann bestimmte Anwendungen geöffnet sind, um bestimmte Einstellungen zu ändern.

Sobald diese beiden Berechtigungen erteilt wurden, kann es zu zahlreichen Angriffen kommen. Der Diebstahl von PINs, Zwei-Faktor-Authentifizierungs-Tokens, Passwörtern oder sogar Denial-of-Service-Angriffe sind möglich. Dies ist der Kombination von Overlays zu verdanken, die dem Benutzer vorgaukeln sollen, dass er mit einem interagiert legitime App und der Accessibility Service werden verwendet, um Text- und Berührungseingaben abzufangen (oder ihre eigenen weiterzuleiten). Eingang).

Wir haben vor ein paar Monaten eine solche Schwachstelle theoretisiert, bei der wir eine Proof-of-Concept-Anwendung erstellen würden, die SYSTEM_ALERT_WINDOW und verwendet BIND_ACCESSIBILITY_SERVICE, um eine Überlagerung über dem Passworteingabebildschirm in der XDA Labs-App zu zeichnen und Tasteneingaben zum Wischen abzufangen Passwörter. Diese Anwendung, die wir uns vorgestellt haben, wäre eine Anwendung zur automatischen Rotationsverwaltung, die ein Overlay verwenden würde, um ein unsichtbares Feld auf dem Bildschirm zu zeichnen Kontrollieren Sie die Rotation (anstatt WRITE_SETTINGS anzufordern, was Flags auslösen würde) und einen Barrierefreiheitsdienst, der es dem Benutzer ermöglicht, Profile für die automatische Rotation pro App zu steuern Basis. Theoretisch wäre dies ein Beispiel für eine Anwendung, die „Umhang und Dolch“ verwendet. Allerdings war keiner aus unserem Team bereit, sein Risiko einzugehen Entwicklerkonten, indem wir die automatisierten App-Scansysteme von Google herausfordern, um zu sehen, ob unser Proof-of-Concept-Exploit im Play zulässig wäre Speichern.

Auf jeden Fall haben diese Forscher die Arbeit gemacht und Testanträge eingereicht, um zu beweisen, dass die Verwendung dieser beiden Berechtigungen tatsächlich ein großes Sicherheitsrisiko darstellen kann:

Wie Sie sehen, sind die Angriffe für Benutzer unsichtbar und ermöglichen die volle Kontrolle über das Gerät. Derzeit sind alle Android-Versionen von Android 5.1.1 bis Android 7.1.2 dafür anfällig Exploit, da es zwei Berechtigungen ausnutzt, die sonst für völlig legitim genutzt werden Zwecke.

Erwarten Sie nicht, dass dieses Problem in absehbarer Zeit wirklich behoben wird. Beachten Sie jedoch, dass dies der Fall ist Änderungen an SYSTEM_ALERT_WINDOW in Android O wird diesen Fehler teilweise beheben, indem verhindert wird, dass bösartige Apps vollständig über den gesamten Bildschirm gezeichnet werden. Darüber hinaus warnt Android O jetzt per Benachrichtigung, wenn eine Anwendung aktiv ein Overlay zeichnet. Mit diesen beiden Änderungen ist es weniger wahrscheinlich, dass eine bösartige Anwendung mit dem Exploit davonkommt Wenn Der Benutzer ist aufmerksam.

Wie schützt man sich bei Versionen vor Android O? Installieren Sie wie immer nur vertrauenswürdige Apps aus vertrauenswürdigen Quellen. Stellen Sie sicher, dass die angeforderten Berechtigungen Ihren Erwartungen entsprechen.

Was die Hunderte Millionen regulären Nutzer betrifft, so ein Google-Sprecher Play Store Protect wird auch notwendige Korrekturen bereitstellen, um die Tarn- und Dolchangriffe zu verhindern. Wie genau dies erreicht werden soll, ist unklar, aber es besteht die Hoffnung, dass es eine Möglichkeit gibt, zu erkennen, wann diese beiden Berechtigungen in böswilliger Absicht verwendet werden. Ich bezweifle jedoch, dass alle derartigen Fälle erkannt werden können. Daher ist es auf jeden Fall am besten, wenn Sie überwachen, welche Berechtigungen jeder von Ihnen installierten Anwendung erteilt werden.