Amit mi az XDA-nál egykor a biztonsági rés bizonyítékaként képzeltünk el, azt most megerősítették az atlantai Georgia Institute of Technology informatikusai. A csapat részletezi, hogy hívják"köpeny és tőr" kihasználja az Android legtöbb verziójának (beleértve a 7.1.2-t is) felhasználói felületét. Természetéből adódóan nehéz megjavítani, és nehéz felismerni.
A Cloak and Dagger egy olyan kizsákmányolás, amely két engedélyt használ ki annak érdekében, hogy átvegye az irányítást a felhasználói felület felett, anélkül, hogy esélyt adna a felhasználónak a rosszindulatú tevékenység észrevételére. A támadás két engedélyt használ: SYSTEM_ALERT_WINDOW ("a tetejére rajzolni") és BIND_ACCESSIBILITY_SERVICE ("a11y"), amelyeket nagyon gyakran használnak az Android-alkalmazásokban.
Nekünk van ezt vázolta a múltban, de ami a sérülékenységet olyan akuttá teszi, az az a tény, hogy a SYSTEM_ALERT_WINDOW-t kérő alkalmazások automatikusan megkapják ezt az engedélyt, ha a Google Play Áruházon keresztül telepítik őket. Ami az akadálymentesítési szolgáltatás engedélyezését illeti, egy rosszindulatú alkalmazás meglehetősen könnyen képes rávenni a felhasználót annak engedélyezésére. A rosszindulatú alkalmazást akár úgy is be lehet állítani, hogy egy kisegítő szolgáltatást félig legitim célra használjon, például figyelje, hogy bizonyos alkalmazások mikor vannak nyitva bizonyos beállítások módosításához.
A két engedély megadása után számos támadás fordulhat elő. PIN-kódok, kéttényezős hitelesítési tokenek, jelszavak ellopása vagy akár szolgáltatásmegtagadási támadások mind lehetségesek. Ez a fedvények kombinációjának köszönhető, amelyek ráveszik a felhasználót, hogy azt gondolják, hogy interakcióba lép a törvényes alkalmazás és a kisegítő lehetőségek szolgáltatása, amelyet a szöveg elfogására és az érintéses bevitelre (vagy a saját továbbítására) használnak bemenet).
Néhány hónappal ezelőtt elméletben egy ilyen sérülékenységet hoztunk létre, amely során egy olyan alkalmazást hozunk létre, amely a SYSTEM_ALERT_WINDOW és BIND_ACCESSIBILITY_SERVICE, hogy egy fedvényt rajzoljon a jelszóbeviteli képernyőre az XDA Labs alkalmazásban, és elkapja a billentyűbevitelt, hogy ellopja jelszavakat. Ez az általunk elképzelt alkalmazás egy automatikus forgatást kezelő alkalmazás, amely egy átfedést használva láthatatlan dobozt rajzol a képernyőre. szabályozza a forgatást (ahelyett, hogy a WRITE_SETTINGS kérelmet kérné, amely jelzőket emelne) és egy kisegítő szolgáltatást, amely lehetővé teszi a felhasználó számára a profilok automatikus elforgatását alkalmazásonként alapján. Elméletileg ez egy olyan alkalmazás, amely "köpenyt és tőrt" használ. Csapatunk közül azonban senki sem volt hajlandó kockáztatni a sajátját fejlesztői fiókokat úgy, hogy megkérdőjelezi a Google automatizált alkalmazásellenőrző rendszereit, hogy megtudja, hogy a koncepció bizonyítása engedélyezett-e a Playen Bolt.
Mindenesetre ezek a kutatók elvégezték a munkát, és tesztkérelmeket nyújtottak be annak bizonyítására, hogy e két engedély használata valóban komoly biztonsági probléma lehet:
Mint látható, a támadások láthatatlanok a felhasználók számára, és teljes ellenőrzést tesznek lehetővé az eszköz felett. Jelenleg az Android összes verziója az Android 5.1.1-től az Android 7.1.2-ig ki van téve ennek kihasználni, tekintettel arra a tényre, hogy kihasználja az egyébként teljesen legitim két engedélyt célokra.
Ne számítson arra, hogy a probléma valódi megoldása hamarosan megérkezik eszközére, bár meg kell jegyezni, hogy a módosítások történtek a következőn: SYSTEM_ALERT_WINDOW Az Android O rendszerben részben kiküszöböli ezt a hibát azáltal, hogy megtiltja a rosszindulatú alkalmazásoknak a teljes képernyőt. Ezenkívül az Android O mostantól értesítéssel figyelmezteti, ha egy alkalmazás aktívan rajzol egy fedvényt. Ezzel a két változtatással kevésbé valószínű, hogy egy rosszindulatú alkalmazás megússza a kizsákmányolást ha a felhasználó figyelmes.
Hogyan védheti meg magát az Android O előtti verziókon? Mint mindig, csak azokat az alkalmazásokat telepítse, amelyekben megbízható forrásból. Győződjön meg arról, hogy az általuk kért engedélyek megfelelnek az elvárásoknak.
Ami a több százmillió rendszeres felhasználót illeti, a Google szóvivője szerint Play Store Protect a szükséges javításokat is biztosítja a köpeny- és tőrtámadások megelőzésére. Nem világos, hogy pontosan hogyan fogja ezt megvalósítani, de remélhetőleg valamilyen módon észlelhető, ha ezt a két engedélyt rosszindulatúan használják fel. Kétlem azonban, hogy képes lenne minden ilyen esetet észlelni, ezért minden esetben a legjobb, ha figyelemmel kíséri, milyen engedélyeket kap az egyes telepített alkalmazások.