Lo que alguna vez imaginamos en XDA como una prueba de concepto de vulnerabilidad de seguridad ahora ha sido confirmado por científicos informáticos del Instituto de Tecnología de Georgia en Atlanta. El equipo detalla cómo lo llaman "capa y espada"exploits que pueden apoderarse de la interfaz de usuario de la mayoría de las versiones de Android (incluida la 7.1.2). Dada su naturaleza, es difícil de solucionar y también de detectar.
Cloak and Dagger es un exploit que aprovecha dos permisos para tomar el control de la interfaz de usuario sin darle al usuario la oportunidad de notar la actividad maliciosa. El ataque utiliza dos permisos: SISTEMA_ALERT_WINDOW ("dibujar encima") y BIND_ACCESSIBILITY_SERVICE ("a11y") que se utilizan con mucha frecuencia en aplicaciones de Android.
Tenemos delineó esto en el pasado, pero lo que hace que esta vulnerabilidad sea tan grave es el hecho de que las aplicaciones que solicitan SYSTEM_ALERT_WINDOW reciben automáticamente este permiso cuando se instalan a través de Google Play Store. En cuanto a habilitar un Servicio de Accesibilidad, una aplicación maliciosa puede fácilmente diseñar socialmente a un usuario para que lo otorgue. La aplicación maliciosa podría incluso configurarse para utilizar un Servicio de Accesibilidad con un propósito semilegítimo, como monitorear cuándo ciertas aplicaciones están abiertas para cambiar ciertas configuraciones.
Una vez concedidos estos dos permisos, el número de ataques que podrían producirse son numerosos. Es posible robar PIN, tokens de autenticación de dos factores, contraseñas o incluso ataques de denegación de servicio. Esto se debe a la combinación de superposiciones para engañar al usuario haciéndole creer que está interactuando con un aplicación legítima y el Servicio de Accesibilidad que se utiliza para interceptar texto y entradas táctiles (o transmitir su propia aporte).
Teorizamos sobre dicha vulnerabilidad hace unos meses, en la que crearíamos una aplicación de prueba de concepto que utiliza SYSTEM_ALERT_WINDOW y BIND_ACCESSIBILITY_SERVICE para dibujar una superposición sobre la pantalla de ingreso de contraseña en la aplicación XDA Labs e interceptar la entrada de clave para deslizar contraseñas. Esta aplicación que imaginamos sería una aplicación de gestión de rotación automática que utilizaría una superposición para dibujar un cuadro invisible en la pantalla para controlar la rotación (en lugar de solicitar WRITE_SETTINGS, lo que generaría alertas) y un servicio de accesibilidad para permitir al usuario controlar los perfiles de rotación automática por aplicación base. En teoría, este sería un ejemplo de una aplicación que utiliza "capa y espada". Sin embargo, ninguno de nuestro equipo estaba dispuesto a arriesgar su cuentas de desarrollador desafiando los sistemas automatizados de escaneo de aplicaciones de Google para ver si nuestro exploit de prueba de concepto estaría permitido en Play Almacenar.
En cualquier caso, estos investigadores hicieron el trabajo y enviaron aplicaciones de prueba para demostrar que el uso de estos dos permisos puede ser un problema de seguridad importante:
Como puede ver, los ataques son invisibles para los usuarios y permiten un control total sobre el dispositivo. Actualmente, todas las versiones de Android desde Android 5.1.1 hasta Android 7.1.2 son vulnerables a esto. explotar, dado el hecho de que aprovecha dos permisos que de otro modo se usarían para fines completamente legítimos propósitos.
No espere que llegue una verdadera solución para este problema a su dispositivo en el corto plazo, aunque debe tenerse en cuenta que el cambios realizados en SYSTEM_ALERT_WINDOW en Android O solucionará parcialmente esta falla al impedir que las aplicaciones maliciosas se dibujen por completo en toda la pantalla. Además, Android O ahora alerta mediante notificación si una aplicación está dibujando activamente una superposición. Con estos dos cambios, es menos probable que una aplicación maliciosa pueda salirse con la suya. si el usuario está atento.
¿Cómo te proteges en versiones anteriores a Android O? Como siempre, instale sólo aplicaciones en las que confíe y de fuentes en las que confíe. Asegúrese de que los permisos que solicitan coincidan con lo que usted espera.
En cuanto a los cientos de millones de usuarios habituales que existen, según un portavoz de Google Proteger Play Store También proporcionará las correcciones necesarias para prevenir los ataques de capa y daga. No está claro exactamente cómo logrará esto, pero es de esperar que implique alguna forma de detectar cuándo estos dos permisos se están utilizando de manera maliciosa. Sin embargo, dudo que sea capaz de detectar todos estos casos, por lo que, en cualquier caso, es mejor que supervises qué permisos se otorgan a cada aplicación que instalas.