XDA में हमने जिसे एक बार अवधारणा सुरक्षा भेद्यता के प्रमाण के रूप में देखा था, अब अटलांटा में जॉर्जिया इंस्टीट्यूट ऑफ टेक्नोलॉजी के कंप्यूटर वैज्ञानिकों द्वारा इसकी पुष्टि की गई है। टीम विवरण देती है कि वे क्या कहते हैं"चोगा और खंजर"ऐसे कारनामे जो एंड्रॉइड के अधिकांश संस्करणों (7.1.2 सहित) के यूआई पर कब्जा कर सकते हैं। इसकी प्रकृति को देखते हुए इसे ठीक करना मुश्किल है और इसका पता लगाना भी मुश्किल है।
क्लोक और डैगर एक शोषण है जो उपयोगकर्ता को दुर्भावनापूर्ण गतिविधि को नोटिस करने का मौका दिए बिना यूआई को नियंत्रित करने के लिए दो अनुमतियों का लाभ उठाता है। हमला दो अनुमतियों का उपयोग करता है: सिस्टम_अलर्ट_विंडो ("शीर्ष पर ड्रा करें") और BIND_ACCESSIBILITY_सेवा ("a11y") जो आमतौर पर एंड्रॉइड ऐप्स में उपयोग किए जाते हैं।
हमारे पास है इसे अतीत में रेखांकित किया गया था, लेकिन जो बात इस भेद्यता को इतना तीव्र बनाती है वह यह तथ्य है कि SYSTEM_ALERT_WINDOW का अनुरोध करने वाले एप्लिकेशन को Google Play Store के माध्यम से इंस्टॉल होने पर स्वचालित रूप से यह अनुमति दी जाती है। जहां तक एक्सेसिबिलिटी सेवा को सक्षम करने का सवाल है, एक दुर्भावनापूर्ण एप्लिकेशन किसी उपयोगकर्ता को इसे प्रदान करने के लिए आसानी से सामाजिक रूप से इंजीनियर करने में सक्षम है। दुर्भावनापूर्ण एप्लिकेशन को अर्ध-वैध उद्देश्य के लिए एक्सेसिबिलिटी सेवा का उपयोग करने के लिए भी सेट किया जा सकता है, जैसे कि कुछ सेटिंग्स को बदलने के लिए कुछ एप्लिकेशन खुले होने पर निगरानी करना।
एक बार ये दो अनुमतियाँ मिल जाने के बाद, होने वाले हमलों की संख्या असंख्य हो सकती है। पिन की चोरी, दो-कारक प्रमाणीकरण टोकन, पासवर्ड, या यहां तक कि सेवा से इनकार करने वाले हमले भी संभव हैं। यह उपयोगकर्ता को यह सोचने के लिए ओवरले के संयोजन के लिए धन्यवाद है कि वे इसके साथ बातचीत कर रहे हैं वैध ऐप और एक्सेसिबिलिटी सेवा का उपयोग टेक्स्ट और टच इनपुट को इंटरसेप्ट करने (या स्वयं को रिले करने) के लिए किया जा रहा है इनपुट).
हमने कुछ महीने पहले ऐसी भेद्यता का सिद्धांत तैयार किया था, जिसमें हम एक प्रूफ-ऑफ-कॉन्सेप्ट एप्लिकेशन बनाएंगे जो SYSTEM_ALERT_WINDOW का उपयोग करता है और XDA लैब्स ऐप में पासवर्ड एंट्री स्क्रीन पर एक ओवरले बनाने और स्वाइप करने के लिए कुंजी इनपुट को इंटरसेप्ट करने के लिए BIND_ACCESSIBILITY_SERVICE पासवर्ड. यह एप्लिकेशन जिसकी हमने कल्पना की थी वह एक ऑटो-रोटेशन प्रबंधन एप्लिकेशन होगा जो स्क्रीन पर एक अदृश्य बॉक्स खींचने के प्रयोजनों के लिए एक ओवरले का उपयोग करेगा। रोटेशन को नियंत्रित करें (WRITE_SETTINGS के अनुरोध के बजाय जो झंडे उठाएगा) और उपयोगकर्ता को प्रति-ऐप पर ऑटो-रोटेट प्रोफाइल को नियंत्रित करने की अनुमति देने के लिए एक एक्सेसिबिलिटी सेवा आधार. सिद्धांत रूप में, यह "क्लोक-एंड-डैगर" का उपयोग करने वाले एप्लिकेशन का एक उदाहरण होगा। हालाँकि, हमारी टीम में से कोई भी अपना जोखिम उठाने को तैयार नहीं था Google के स्वचालित ऐप स्कैनिंग सिस्टम को चुनौती देकर डेवलपर खाते यह देखने के लिए कि क्या हमारे प्रूफ-ऑफ-कॉन्सेप्ट शोषण को प्ले पर अनुमति दी जाएगी या नहीं इकट्ठा करना।
किसी भी स्थिति में, इन शोधकर्ताओं ने काम किया और यह साबित करने के लिए परीक्षण आवेदन प्रस्तुत किए कि इन दो अनुमतियों का उपयोग वास्तव में एक प्रमुख सुरक्षा मुद्दा हो सकता है:
जैसा कि आप देख सकते हैं, हमले उपयोगकर्ताओं के लिए अदृश्य हैं और डिवाइस पर पूर्ण नियंत्रण की अनुमति देते हैं। वर्तमान में एंड्रॉइड 5.1.1 से लेकर एंड्रॉइड 7.1.2 तक एंड्रॉइड के सभी संस्करण इसकी चपेट में हैं शोषण, इस तथ्य को देखते हुए कि यह दो अनुमतियों का लाभ उठाता है अन्यथा पूरी तरह से वैध के लिए उपयोग किया जाता है उद्देश्य.
यह उम्मीद न करें कि इस समस्या का सही समाधान जल्द ही आपके डिवाइस पर आ जाएगा, हालांकि यह ध्यान दिया जाना चाहिए कि SYSTEM_ALERT_WINDOW में परिवर्तन किये गये एंड्रॉइड O में दुर्भावनापूर्ण ऐप्स को पूरी स्क्रीन पर पूरी तरह से आने से रोककर इस दोष को आंशिक रूप से संबोधित किया जाएगा। इसके अलावा, यदि कोई एप्लिकेशन सक्रिय रूप से ओवरले बना रहा है तो Android O अब अधिसूचना के माध्यम से अलर्ट करता है। इन दो परिवर्तनों के साथ, इसकी संभावना कम है कि कोई दुर्भावनापूर्ण एप्लिकेशन शोषण से बच सके अगर उपयोगकर्ता चौकस है.
आप Android O से पहले के संस्करणों पर अपनी सुरक्षा कैसे करते हैं? हमेशा की तरह, केवल उन्हीं स्रोतों से ऐप्स इंस्टॉल करें जिन पर आपको भरोसा है। सुनिश्चित करें कि वे जिन अनुमतियों का अनुरोध करते हैं वे आपकी अपेक्षा के अनुरूप हों।
Google प्रवक्ता के अनुसार, जहाँ तक करोड़ों नियमित उपयोगकर्ताओं की बात है प्ले स्टोर प्रोटेक्ट लबादा और खंजर के हमलों को रोकने के लिए आवश्यक सुधार भी प्रदान करेगा। यह वास्तव में इसे कैसे पूरा करेगा यह स्पष्ट नहीं है, लेकिन उम्मीद है कि इसमें यह पता लगाने का कोई तरीका शामिल होगा कि इन दो अनुमतियों का उपयोग दुर्भावनापूर्ण रूप से किया जा रहा है। हालाँकि, मुझे संदेह है कि यह ऐसे सभी मामलों का पता लगाने में सक्षम होगा, इसलिए किसी भी मामले में यह निगरानी करना आपके लिए सबसे अच्छा है कि आपके द्वारा इंस्टॉल किए गए प्रत्येक एप्लिकेशन को कौन सी अनुमतियां दी जा रही हैं।