Sen, mitä me XDA: lla aikoinaan kuvittelimme todisteeksi tietoturvahaavoittuvuudesta, ovat nyt vahvistaneet Georgia Institute of Technologyn Atlantassa tietotekniikan tutkijat. Joukkue kertoo mitä he kutsuvat "viitta ja tikari" hyödyntää, joka voi ottaa haltuunsa useimpien Android-versioiden (mukaan lukien 7.1.2) käyttöliittymän. Luonteensa vuoksi sitä on vaikea korjata ja myös vaikea havaita.
Cloak and Dagger on hyväksikäyttö, joka hyödyntää kahta käyttöoikeutta saadakseen käyttöliittymän hallintaan antamatta käyttäjälle mahdollisuutta havaita haitallista toimintaa. Hyökkäys käyttää kahta lupaa: SYSTEM_ALERT_WINDOW ("piirtää päälle") ja BIND_ACCESSIBILITY_SERVICE ("a11v"), joita käytetään hyvin yleisesti Android-sovelluksissa.
Meillä on hahmotteli tätä aiemmin, mutta mikä tekee tästä haavoittuvuudesta niin akuuttia, on se, että sovelluksille, jotka pyytävät SYSTEM_ALERT_WINDOW, myönnetään tämä lupa automaattisesti, kun ne asennetaan Google Play Kaupan kautta. Mitä tulee esteettömyyspalvelun käyttöön, haitallinen sovellus pystyy melko helposti sosiaalisesti ohjaamaan käyttäjän myöntämään sen. Haitallinen sovellus voidaan jopa asettaa käyttämään esteettömyyspalvelua osittain lailliseen tarkoitukseen, kuten valvomaan, milloin tietyt sovellukset ovat avoinna tiettyjen asetusten muuttamiseksi.
Kun nämä kaksi lupaa on myönnetty, voi tapahtua useita hyökkäyksiä. PIN-koodien varastaminen, kaksivaiheiset todennustunnukset, salasanat tai jopa palvelunestohyökkäykset ovat kaikki mahdollisia. Tämä johtuu peittokuvien yhdistelmästä, joka huijaa käyttäjää ajattelemaan, että he ovat vuorovaikutuksessa a laillinen sovellus ja esteettömyyspalvelu, jota käytetään tekstin sieppaamiseen ja kosketussyötteeseen (tai sen omaan välittämiseen syöttö).
Teorisimme tällaisen haavoittuvuuden muutama kuukausi sitten, jolloin luomme proof-of-concept-sovelluksen, joka käyttää SYSTEM_ALERT_WINDOW- ja BIND_ACCESSIBILITY_SERVICE, jotta voit piirtää peittokuvan XDA Labs -sovelluksen salasanan syöttönäytön päälle ja siepata näppäinsyöttö pyyhkäisemistä varten salasanat. Tämä sovellus, jonka kuvittelimme olevan automaattisen pyörityksen hallintasovellus, joka käyttäisi peittokuvaa piirtääkseen näytölle näkymätön laatikon. ohjaa kiertoa (sen sijaan, että pyytäisi WRITE_SETTINGS, joka nostaisi liput) ja esteettömyyspalvelu, jonka avulla käyttäjä voi ohjata sovelluskohtaisten profiilien automaattista kiertoa perusta. Teoriassa tämä olisi yksi esimerkki sovelluksesta, jossa käytetään "viitaa ja tikaria". Kukaan tiimistämme ei kuitenkaan halunnut riskeerata omaansa kehittäjätilit haastamalla Googlen automaattiset sovellusskannausjärjestelmät nähdäkseen, sallitaanko konseptin todistamisen hyväksikäyttö Playssa Store.
Joka tapauksessa nämä tutkijat tekivät työn ja lähettivät testihakemuksia todistaakseen, että näiden kahden luvan käyttö voi todellakin olla suuri turvallisuusongelma:
Kuten näet, hyökkäykset ovat käyttäjille näkymättömiä ja mahdollistavat laitteen täyden hallinnan. Tällä hetkellä kaikki Android-versiot Android 5.1.1:stä Android 7.1.2:een ovat alttiita tälle hyödyntää, koska se hyödyntää kahta käyttöoikeutta, joita muuten käytetään täysin laillisiin tarkoituksiin.
Älä odota todellista korjausta tähän ongelmaan laitteellesi lähiaikoina, vaikka on huomattava, että muutokset tehty järjestelmään SYSTEM_ALERT_WINDOW Android O: ssa korjaa tämän puutteen osittain estämällä haitallisia sovelluksia piirtämästä kokonaan koko näytön yli. Lisäksi Android O hälyttää nyt ilmoituksella, jos sovellus piirtää aktiivisesti peittokuvaa. Näillä kahdella muutoksella on vähemmän todennäköistä, että haitallinen sovellus pääsee eroon hyväksikäytöstä jos käyttäjä on tarkkaavainen.
Kuinka suojaat itseäsi Android O: ta edeltävissä versioissa? Kuten aina, asenna vain luotettavista lähteistä peräisin olevia sovelluksia, joihin luotat. Varmista, että heidän pyytämänsä käyttöoikeudet vastaavat odotuksiasi.
Mitä tulee satoihin miljooniin tavallisiin käyttäjiin, Googlen tiedottajan mukaan Play Store Protect tarjoaa myös tarvittavat korjaukset estämään viitta- ja tikarihyökkäykset. Kuinka se tarkalleen toteuttaa tämän, on epäselvää, mutta toivottavasti se sisältää jonkin tavan havaita, milloin näitä kahta käyttöoikeutta käytetään haitallisesti. Epäilen kuitenkin, että se pystyisi havaitsemaan kaikki tällaiset tapaukset, joten joka tapauksessa sinun on parasta seurata, mitä käyttöoikeuksia kullekin asentamasi sovellukselle myönnetään.