Les messages Android Toast peuvent être utilisés de manière abusive pour accorder des privilèges d'accessibilité ou d'administrateur de périphérique.

Android est une plateforme assez ouverte avec une fantastique communauté de développeurs. Beaucoup de ces développeurs créeront des applications, des ROM personnalisées et bien plus encore. Certaines organisations effectuent également des tests de sécurité, comme Palo Alto Networks Unit 42. Ce groupe a découvert une vulnérabilité dans le système Android Toast Message, qui permet au l'attaquant pour créer une pseudo-superposition pour inciter l'utilisateur à accorder des autorisations dangereuses sans son autorisation. connaissance. C'est déjà corrigé dans le Mise à jour de sécurité de septembre et sous Android Oreo, alors soyez assuré que si votre téléphone reçoit toujours des correctifs de sécurité mensuels ou si vous possédez un appareil sous Android Oreo, vous n'êtes pas vulnérable à cette attaque.

Tous les autres appareils Android sont sensibles

à cette attaque. La façon dont cela fonctionne est qu'il exploite les notifications toast dans Android pour contourner l'exigence de "dessiner par-dessus", c'est-à-dire. autorisation de superposition, c'est ainsi que le "Cape et poignard" L'exploit a fonctionné. Les chercheurs ont utilisé cet exploit pour inciter socialement les utilisateurs à accorder le service d'accessibilité à leur application attaquante, leur permettant ainsi de lire tous les contenus de l'écran, les entrées clés, etc. sur l'appareil. Ils ont ensuite utilisé la même méthode pour inciter les utilisateurs de l’application à accorder un accès administrateur, tout en ignorant totalement l’accès qu’ils venaient d’accorder. Cela permet à l’attaquant d’installer des applications, de surveiller l’appareil et ouvre également la voie au potentiel des ransomwares.

Explication de l'attaque par superposition de messages Android Toast

Mais concrètement, comment ça marche? Le les développeurs derrière la preuve de concept a partagé le code source réel de leur attaque qui contient une explication plus technique derrière la vulnérabilité. Mais nous expliquerons brièvement comment et pourquoi cet exploit fonctionne.

Tout d’abord, vous devez réfléchir à ce qu’est un message toast. Ils existent sur Android depuis des années maintenant, et vous en avez probablement vu beaucoup sur votre appareil chaque jour. Les toasts sont des petits messages en bas de l'écran qui apparaissent généralement dans une bulle grise avec une information.

L'exploit utilise le message toast pour créer une superposition sur l'écran sans réellement demander ou avoir besoin du SYSTEM_ALERT_WINDOW autorisation, qui est censée être une exigence pour que toute application puisse dessiner sur votre écran. Au lieu de cela, il pousse la superposition via une notification toast, créant des boutons qui semblent servir à accorder légitimement un message bénin. autorisation ou accepter une invite dénuée de sens, mais servent en fait à accorder à l'administrateur de l'appareil ou à l'accès d'accessibilité au application. Il crée deux vues à l'intérieur d'une superposition de pain grillé.

Tout cela peut être fait en raison d’un échec de vérification des autorisations. Le système Android (mise à jour de sécurité antérieure à Oreo et antérieure à septembre) ne vérifie pas réellement ce qui est alimenté via le système Android Toast Overlay, accordant plutôt l'autorisation sans vérification. Cela est probablement dû au fait que Google n'a pas prévu la possibilité d'alimenter une vue via une superposition de toast.

Tentative d'Android 7.1 pour corriger l'attaque de superposition Android Toast

Sous Android 7.1, il semble que Google ait tenté de bloquer cet exploit. Un délai d'attente a été introduit pour les messages toast et une limitation a été créée: un seul message toast par UID, l'ID de processus d'une application. Cela a été facilement contourné en effectuant des boucles répétées et en affichant davantage de superpositions de toast, de sorte que l'illusion est donnée à l'utilisateur qu'il s'agit d'une interface utilisateur cohérente. Si aucune boucle n'était créée, après 3,5 secondes, la superposition disparaîtrait et l'utilisateur verrait ce que l'application lui demande réellement de faire: accorder des droits d'administrateur ou d'accessibilité à l'appareil.

Conséquences d'une attaque réussie

Les autorisations d’administrateur de périphérique ou d’accessibilité, lorsqu’elles sont accordées à une application, peuvent être facilement exploitées pour de nombreux types d’attaques malveillantes. Des ransomwares, des enregistreurs de frappe et des effaceurs d'appareils peuvent tous être créés à l'aide de cet exploit.

Les applications n'ont besoin d'aucune autorisation pour afficher un message toast, même si l'application malveillante reste évidemment a besoin de BIND_ACCESSIBILITY_SERVICE ainsi que de BIND_DEVICE_ADMIN afin d'utiliser efficacement cette superposition de toast attaque. Ainsi, votre meilleure ligne de défense contre ce type d’attaque si votre appareil n’est pas encore patché est d’examiner les autorisations qu’une application a définies dans son AndroidManifest lors de son installation. Si vous installez une application et que vous ne savez pas pourquoi cette application a besoin d'un service d'accessibilité ou de privilèges d'administrateur d'appareil, désinstallez-la rapidement et contactez le développeur.

Il est inquiétant qu'une partie aussi simple d'Android, le modeste message toast, puisse être exploitée pour inciter socialement un utilisateur à accorder des autorisations dangereuses. Nous espérons que les fabricants déploieront les correctifs de sécurité de septembre dès que possible sur les appareils afin de protéger les millions de personnes qui pourraient facilement tomber dans le piège d'un tel exploit.