शोधकर्ताओं ने टोस्ट संदेश का उपयोग करके एक हमले का प्रदर्शन किया है जो किसी उपयोगकर्ता को एंड्रॉइड पर खतरनाक अनुमतियां देने में सामाजिक रूप से इंजीनियर कर सकता है।
एंड्रॉइड एक शानदार डेवलपर समुदाय के साथ एक काफी खुला मंच है। इनमें से कई डेवलपर ऐप्स, कस्टम रोम और बहुत कुछ बनाएंगे। कुछ संगठन सुरक्षा परीक्षण में भी संलग्न हैं, जैसे पालो अल्टो नेटवर्क यूनिट 42। इस समूह ने एंड्रॉइड टोस्ट मैसेज सिस्टम के भीतर एक भेद्यता की खोज की है, जो इसकी अनुमति देता है हमलावर उपयोगकर्ता को उनके बिना खतरनाक अनुमतियाँ देने के लिए धोखा देने के लिए एक छद्म ओवरले बनाता है ज्ञान। यह है में पहले से ही तय है सितम्बर सुरक्षा अद्यतन और Android Oreo में, इसलिए निश्चिंत रहें कि यदि आपके फ़ोन को अभी भी मासिक सुरक्षा पैच मिलते हैं, या आपके पास Android Oreo पर डिवाइस है, तो आप इस हमले की चपेट में नहीं हैं।
अन्य सभी Android डिवाइस अतिसंवेदनशील हैं इस हमले को. इसके काम करने का तरीका यह है कि यह एंड्रॉइड के भीतर "ड्रॉ ऑन टॉप" की आवश्यकता को बायपास करने के लिए टोस्ट नोटिफिकेशन का फायदा उठाता है। ओवरले अनुमति, जो इस प्रकार है "
चोगा और खंजर"शोषण ने काम किया। शोधकर्ताओं ने इस शोषण का उपयोग सामाजिक रूप से इंजीनियर उपयोगकर्ताओं को उनके हमलावर एप्लिकेशन तक पहुंच सेवा प्रदान करने में किया, जिससे उन्हें सभी स्क्रीन सामग्री, मुख्य इनपुट आदि को पढ़ने की अनुमति मिली। उपकरण पर। फिर उन्होंने एप्लिकेशन उपयोगकर्ताओं को व्यवस्थापक पहुंच प्रदान करने के लिए लुभाने के लिए उसी विधि का उपयोग किया, जबकि वे अभी प्रदान की गई पहुंच से पूरी तरह से अनजान थे। इससे हमलावर को ऐप्स इंस्टॉल करने, डिवाइस की निगरानी करने और रैंसमवेयर की संभावना का भी पता चल जाता है।एंड्रॉइड टोस्ट संदेश ओवरले हमले की व्याख्या
लेकिन यह वास्तव में कैसे काम करता है? अवधारणा के प्रमाण के पीछे डेवलपर्स अपने हमले का वास्तविक स्रोत कोड साझा किया जिसमें भेद्यता के पीछे अधिक तकनीकी स्पष्टीकरण शामिल है। लेकिन हम संक्षेप में बताएंगे कि यह शोषण कैसे और क्यों काम करता है।
सबसे पहले, आपको यह विचार करना होगा कि टोस्ट संदेश क्या है। वे वर्षों से एंड्रॉइड पर मौजूद हैं, और आपने संभवतः हर दिन अपने डिवाइस पर उनमें से बहुत सारे देखे होंगे। टोस्ट स्क्रीन के नीचे छोटे संदेश होते हैं जो आमतौर पर जानकारी के एक टुकड़े के साथ एक ग्रे बुलबुले में दिखाई देते हैं।
शोषण वास्तव में अनुरोध या आवश्यकता के बिना स्क्रीन पर ओवरले बनाने के लिए टोस्ट संदेश का उपयोग करता है सिस्टम_अलर्ट_विंडो अनुमति, जो किसी भी एप्लिकेशन को आपकी स्क्रीन पर खींचने के लिए एक आवश्यकता मानी जाती है। इसके बजाय, यह एक टोस्ट अधिसूचना के माध्यम से ओवरले को आगे बढ़ाता है, जिससे ऐसे बटन बनते हैं जो देखने में ऐसे लगते हैं जैसे वे वैध रूप से सौम्यता प्रदान करने के लिए हैं अनुमति देना या अर्थहीन संकेत को स्वीकार करना, लेकिन वास्तव में डिवाइस प्रशासक या एक्सेसिबिलिटी एक्सेस प्रदान करने के लिए है आवेदन पत्र। यह टोस्ट ओवरले के अंदर दो दृश्य बनाता है।
यह सब विफल अनुमति जांच के कारण किया जा सकता है। एंड्रॉइड सिस्टम (प्री-ओरियो और प्री-सितंबर सुरक्षा अपडेट) वास्तव में यह जांच नहीं करता है कि एंड्रॉइड टोस्ट ओवरले सिस्टम के माध्यम से क्या खिलाया जाता है, बल्कि बिना जांच किए अनुमति दे देता है। ऐसा संभवतः इसलिए है क्योंकि Google ने टोस्ट ओवरले के माध्यम से किसी दृश्य को फीड करने की संभावना की कल्पना नहीं की थी।
एंड्रॉइड 7.1 का एंड्रॉइड टोस्ट ओवरले अटैक को ठीक करने का प्रयास
ऐसा लगता है कि Android 7.1 में Google ने इस शोषण को रोकने का प्रयास किया है। टोस्ट संदेशों के लिए एक समय सीमा लागू की गई और एक सीमा बनाई गई: प्रति यूआईडी केवल 1 टोस्ट संदेश, एक ऐप की प्रक्रिया आईडी। बार-बार लूपिंग और इसके बजाय अधिक टोस्ट ओवरले दिखाकर इसे आसानी से दरकिनार कर दिया गया, इसलिए उपयोगकर्ता को यह भ्रम हो गया कि यह एक सुसंगत यूआई है। यदि लूप नहीं बनाया गया था, तो 3.5 सेकंड के बाद ओवरले गायब हो जाएगा और उपयोगकर्ता देखेगा कि ऐप वास्तव में उपयोगकर्ता से क्या करने का अनुरोध कर रहा है - डिवाइस एडमिन या एक्सेसिबिलिटी अधिकार प्रदान करें।
एक सफल हमले के परिणाम
डिवाइस प्रशासक या एक्सेसिबिलिटी अनुमतियां, जब किसी एप्लिकेशन को दी जाती हैं, तो कई प्रकार के दुर्भावनापूर्ण हमलों के लिए आसानी से इसका फायदा उठाया जा सकता है। इस शोषण का उपयोग करके रैनसमवेयर, कीलॉगर्स और डिवाइस वाइपर सभी बनाए जा सकते हैं।
टोस्ट संदेश दिखाने के लिए एप्लिकेशन को किसी अनुमति की आवश्यकता नहीं है, हालांकि स्पष्ट रूप से अभी भी दुर्भावनापूर्ण एप्लिकेशन है इस टोस्ट ओवरले का प्रभावी उपयोग करने के लिए BIND_ACCESSIBILITY_SERVICE के साथ-साथ BIND_DEVICE_ADMIN की आवश्यकता है आक्रमण करना। इस प्रकार, यदि आपके डिवाइस को अभी तक पैच नहीं किया गया है तो इस तरह के हमले के खिलाफ आपकी रक्षा की सबसे अच्छी पंक्ति उन अनुमतियों की जांच करना है जो किसी एप्लिकेशन ने इसे इंस्टॉल करते समय अपने AndroidManifest में परिभाषित की है। यदि आप कोई ऐप इंस्टॉल करते हैं और आप निश्चित नहीं हैं कि उस ऐप को एक्सेसिबिलिटी सर्विस या डिवाइस एडमिन विशेषाधिकारों की आवश्यकता क्यों है, तो तुरंत उसे अनइंस्टॉल करें और डेवलपर से संपर्क करें।
यह चिंता का विषय है कि एंड्रॉइड का इतना सरल भाग, नीच टोस्ट संदेश, का उपयोग किसी उपयोगकर्ता को खतरनाक अनुमतियाँ देने के लिए सामाजिक रूप से इंजीनियर करने के लिए किया जा सकता है। हमें उम्मीद है कि निर्माता उन लाखों लोगों की सुरक्षा के लिए जल्द से जल्द सितंबर सुरक्षा पैच को उपकरणों पर लागू करेंगे जो आसानी से इस तरह के शोषण में फंस सकते हैं।