Para peneliti telah mendemonstrasikan serangan menggunakan Pesan Toast yang dapat merekayasa pengguna secara sosial untuk memberikan izin berbahaya pada Android.
Android adalah platform yang cukup terbuka dengan komunitas pengembang yang fantastis. Banyak dari pengembang ini akan membuat aplikasi, ROM khusus, dan banyak lagi. Beberapa organisasi juga terlibat dalam pengujian keamanan, seperti Palo Alto Networks Unit 42. Grup ini telah menemukan kerentanan dalam sistem Android Toast Message, yang memungkinkan penyerang membuat pseudo-overlay untuk mengelabui pengguna agar memberikan izin berbahaya tanpa izin mereka pengetahuan. Ini sudah diperbaiki di Pembaruan keamanan bulan September dan di Android Oreo, jadi yakinlah bahwa jika ponsel Anda masih menerima patch keamanan bulanan, atau Anda memiliki perangkat di Android Oreo, Anda tidak rentan terhadap serangan ini.
Semua perangkat Android lainnya rentan untuk serangan ini. Cara kerjanya adalah dengan mengeksploitasi notifikasi toast di Android untuk melewati persyaratan "draw on top" yaitu. izin overlay, begitulah cara "
Serangan Hamparan Pesan Toast Android Dijelaskan
Tapi bagaimana cara kerjanya? Itu pengembang di balik bukti konsep membagikan kode sumber sebenarnya dari serangan mereka yang berisi penjelasan lebih teknis di balik kerentanan tersebut. Namun kami akan menjelaskan secara singkat bagaimana dan mengapa eksploitasi ini berhasil.
Pertama, Anda perlu mempertimbangkan apa itu pesan bersulang. Mereka sudah ada di Android selama bertahun-tahun, dan Anda mungkin sering melihatnya di perangkat Anda setiap hari. Toast adalah pesan kecil di bagian bawah layar yang biasanya muncul dalam gelembung abu-abu berisi informasi.
Eksploitasi ini menggunakan pesan toast untuk membuat overlay di layar tanpa benar-benar meminta atau memerlukannya SYSTEM_ALERT_WINDOW izin, yang seharusnya menjadi persyaratan bagi aplikasi apa pun untuk menutupi layar Anda. Sebaliknya, ia mendorong hamparan melalui pemberitahuan bersulang, menciptakan tombol-tombol yang tampak seolah-olah secara sah memberikan izin yang tidak berbahaya izin atau menerima perintah yang tidak berarti tetapi sebenarnya untuk memberikan administrator perangkat atau akses aksesibilitas ke aplikasi. Ini menciptakan dua tampilan di dalam hamparan roti panggang.
Semua ini dapat dilakukan karena pemeriksaan izin yang gagal. Sistem Android (pembaruan keamanan sebelum Oreo dan sebelum September) sebenarnya tidak memeriksa apa yang dimasukkan melalui sistem Android Toast Overlay, melainkan memberikan izin tanpa memeriksa. Hal ini mungkin terjadi karena Google tidak memperkirakan kemungkinan menampilkan tampilan melalui hamparan roti panggang.
Upaya Android 7.1 untuk Memperbaiki Serangan Android Toast Overlay
Di Android 7.1 sepertinya Google mencoba memblokir eksploitasi ini. Ada waktu tunggu untuk pesan toast dan batasan yang dibuat: hanya 1 pesan toast per UID, ID proses aplikasi. Hal ini dapat dengan mudah dilewati dengan mengulang berulang kali dan menampilkan lebih banyak lapisan roti panggang, sehingga ilusi diberikan kepada pengguna bahwa ini adalah UI yang konsisten. Jika loop tidak dibuat, setelah 3,5 detik overlay akan hilang dan pengguna akan melihat apa yang sebenarnya diminta aplikasi untuk dilakukan - memberikan hak akses atau admin perangkat.
Konsekuensi dari Serangan yang Berhasil
Administrator perangkat atau izin aksesibilitas, ketika diberikan kepada suatu aplikasi, dapat dengan mudah dieksploitasi untuk berbagai jenis serangan berbahaya. Ransomware, keylogger, dan wiper perangkat semuanya dapat dibuat menggunakan eksploitasi ini.
Aplikasi tidak memerlukan izin apa pun untuk menampilkan pesan roti panggang, meskipun jelas aplikasi tersebut masih berbahaya memerlukan BIND_ACCESSIBILITY_SERVICE serta BIND_DEVICE_ADMIN agar dapat memanfaatkan hamparan roti panggang ini secara efektif menyerang. Oleh karena itu, garis pertahanan terbaik Anda terhadap serangan semacam ini jika perangkat Anda belum di-patch adalah dengan memeriksa izin yang telah ditentukan aplikasi di AndroidManifest-nya saat memasangnya. Jika Anda memasang aplikasi dan tidak yakin mengapa aplikasi tersebut memerlukan Layanan Aksesibilitas atau hak istimewa Admin Perangkat, segera copot pemasangannya dan hubungi pengembang.
Sangat mengkhawatirkan bahwa bagian sederhana dari Android, pesan sederhana, dapat dieksploitasi untuk merekayasa pengguna secara sosial agar memberikan izin yang berbahaya. Kami berharap para produsen segera meluncurkan patch keamanan bulan September ke perangkat mereka guna melindungi jutaan orang di luar sana yang mudah tertipu oleh eksploitasi semacam itu.