Apa yang kami di XDA pernah bayangkan sebagai bukti konsep kerentanan keamanan kini telah dikonfirmasi oleh ilmuwan komputer di Institut Teknologi Georgia di Atlanta. Tim merinci apa yang mereka sebut "jubah dan belati" eksploitasi yang dapat mengambil alih UI sebagian besar versi Android (termasuk 7.1.2). Mengingat sifatnya yang sulit diperbaiki dan juga sulit dideteksi.
Cloak and Dagger adalah eksploitasi yang memanfaatkan dua izin untuk mengambil kendali UI tanpa memberikan kesempatan kepada pengguna untuk mengetahui aktivitas jahat. Serangan itu menggunakan dua izin: SYSTEM_ALERT_WINDOW ("menggambar di atas") Dan BIND_ACCESSIBILITY_SERVICE ("a11y") yang sangat umum digunakan di aplikasi Android.
Kita punya menguraikan hal ini di masa lalu, namun yang membuat kerentanan ini begitu parah adalah kenyataan bahwa aplikasi yang meminta SYSTEM_ALERT_WINDOW secara otomatis diberikan izin ini ketika diinstal melalui Google Play Store. Mengenai mengaktifkan Layanan Aksesibilitas, aplikasi jahat dapat dengan mudah merekayasa sosial pengguna agar memberikannya. Aplikasi jahat bahkan dapat diatur untuk menggunakan Layanan Aksesibilitas untuk tujuan semi-sah, seperti memantau ketika aplikasi tertentu terbuka untuk mengubah pengaturan tertentu.
Setelah kedua izin ini diberikan, jumlah serangan yang dapat terjadi akan sangat banyak. Pencurian PIN, token autentikasi dua faktor, kata sandi, atau bahkan serangan penolakan layanan semuanya mungkin terjadi. Hal ini berkat kombinasi overlay untuk mengelabui pengguna agar mengira mereka sedang berinteraksi dengan a aplikasi yang sah dan Layanan Aksesibilitas digunakan untuk mencegat input teks dan sentuhan (atau menyampaikan inputnya sendiri memasukkan).
Kami berteori tentang kerentanan tersebut beberapa bulan yang lalu, dimana kami akan membuat aplikasi pembuktian konsep yang menggunakan SYSTEM_ALERT_WINDOW dan BIND_ACCESSIBILITY_SERVICE untuk menggambar overlay pada layar entri kata sandi di aplikasi XDA Labs dan mencegat input kunci untuk menggesek kata sandi. Aplikasi yang kami bayangkan ini akan menjadi aplikasi pengelola rotasi otomatis yang akan menggunakan overlay untuk tujuan menggambar kotak tak kasat mata di layar untuk mengontrol rotasi (daripada meminta WRITE_SETTINGS yang akan menaikkan tanda) dan layanan Aksesibilitas untuk memungkinkan pengguna mengontrol profil putar otomatis pada per aplikasi dasar. Secara teori, ini akan menjadi salah satu contoh aplikasi yang menggunakan "jubah-dan-belati". Namun, tidak ada satu pun di antara tim kami yang mau mengambil risiko akun pengembang dengan menantang sistem pemindaian aplikasi otomatis Google untuk melihat apakah eksploitasi bukti konsep kami akan diizinkan di Play Toko.
Bagaimanapun, para peneliti ini telah melakukan pekerjaannya dan mengajukan permohonan pengujian untuk membuktikan bahwa penggunaan kedua izin ini memang dapat menimbulkan masalah keamanan yang besar:
Seperti yang Anda lihat, serangan tersebut tidak terlihat oleh pengguna dan memungkinkan kontrol penuh atas perangkat. Saat ini semua versi Android mulai dari Android 5.1.1 hingga Android 7.1.2 rentan terhadap hal tersebut mengeksploitasi, mengingat fakta bahwa ia memanfaatkan dua izin yang digunakan untuk sepenuhnya sah tujuan.
Jangan berharap perbaikan sebenarnya untuk masalah ini akan terjadi pada perangkat Anda dalam waktu dekat, meskipun perlu diperhatikan bahwa perubahan dilakukan pada SYSTEM_ALERT_WINDOW di Android O sebagian akan mengatasi kelemahan ini dengan melarang aplikasi berbahaya menutupi seluruh layar. Selain itu, Android O kini memberi peringatan melalui notifikasi jika ada aplikasi yang aktif menggambar overlay. Dengan dua perubahan ini, kecil kemungkinan aplikasi jahat bisa lolos dari eksploitasi jika pengguna penuh perhatian.
Bagaimana Anda melindungi diri Anda pada versi sebelum Android O? Seperti biasa, instal hanya aplikasi yang Anda percayai dari sumber yang Anda percayai. Pastikan izin yang mereka minta sesuai dengan yang Anda harapkan.
Adapun ratusan juta pengguna reguler di luar sana, menurut juru bicara Google Lindungi Play Store juga akan memberikan perbaikan yang diperlukan untuk mencegah serangan jubah dan belati. Bagaimana cara tepatnya melakukan hal ini masih belum jelas, tapi mudah-mudahan ini melibatkan beberapa cara untuk mendeteksi ketika kedua izin ini digunakan secara jahat. Saya ragu alat ini mampu mendeteksi semua kasus seperti itu, jadi sebaiknya Anda memantau izin apa saja yang diberikan pada setiap aplikasi yang Anda instal.