MWR InfoSecurityn löytämä uusi Android-haavoittuvuus kertoo, kuinka sovellukset voivat huijata käyttäjiä tallentamaan näyttönsä heidän tietämättään.
Android on käytössä miljardeissa laitteissa maailmanlaajuisesti, ja uusia haavoittuvuuksia löydetään joka päivä. Nyt, hyväksikäyttö, jonka on löytänyt MWR InfoSecurity yksityiskohtaisesti kuinka Android-versioiden 5.0–7.1 sovellukset voivat huijata käyttäjiä tallentamaan näytön sisältöä heidän tietämättään.
Se koskee Androidia MediaProjection puiteohjelma, joka julkaistiin 5.0 Lollipopilla ja antoi kehittäjille mahdollisuuden kaapata laitteen näyttö ja tallentaa järjestelmän ääntä. Kaikissa Android-versioissa 5.0 Lollipoppia edeltävissä versioissa näytön sieppaussovellusten oli toimittava pääkäyttäjän oikeuksilla tai ne piti allekirjoittaa erityisillä avaimia, mutta Androidin uudemmissa versioissa kehittäjät eivät tarvitse pääkäyttäjän oikeuksia käyttääkseen MediaProjection-palvelua, eivätkä heidän tarvitse ilmoittaa luvat.
Normaalisti MediaProjection-kehystä käyttävä sovellus pyytää pääsyä palveluun
tahallisuus, jonka Android esittää käyttäjälle SystemUI-ponnahdusikkunana. MWR InfoSecurity havaitsi, että hyökkääjä saattoi peittää tavallisen SystemUI-ponnahdusikkunan houkutuksella huijatakseen käyttäjän myöntämään sovellukselle näytön tallennusoikeudet. Syy? Android-versiot, jotka ovat uudempia kuin 5.0 Lollipop, eivät pysty havaitsemaan SystemUI-ponnahdusikkunoita, jotka on osittain peitetty.Tämä haavoittuvuus on tällä hetkellä vain korjattu Android 8.0 Oreo, raportissa todetaan, ja koska suurin osa Android-älypuhelimista ei käytä Androidin uusinta versiota, se on edelleen vakava riski. Noin 77,5 % aktiivisista Android-laitteista on haavoittuvia hyökkäykselle lokakuun 2. päivänä. MWR InfoSecurity.
Päivitysongelmaan ei ole lyhytaikaista ratkaisua - se on puhelinvalmistajien vastuulla. Sillä välin Android-kehittäjät voivat kuitenkin puolustautua hyökkäystä vastaan ottamalla käyttöön FLAG_SECURE layout-parametrin sovelluksensa WindowManagerin kautta, joka varmistaa, että sovelluksen sisältö ikkunoita käsitellään turvallisina ja ne eivät näy kuvakaappauksissa tai katsomasta suojaamattomissa näytöt.
Käyttäjien puolella MWR InfoSecurity lisää, että tämä hyökkäys ei ole täysin havaitsematon. Raportissa todetaan:
"Kun sovellus saa pääsyn MediaProjection-palveluun, se luo virtuaalinäytön, joka aktivoi kuvakkeen ilmoituspalkissa. Jos käyttäjät näkevät näyttölähetyskuvakkeen laitteen ilmoituspalkissa, heidän tulee tutkia laitteissaan tällä hetkellä käynnissä oleva sovellus/prosessi."
Tarinan moraali? Ole varovainen ladattavien sovellusten suhteen.
Lähde: MWR InfoSecurity