Ciò che noi di XDA una volta immaginavamo come una prova di vulnerabilità della sicurezza è stato ora confermato dagli scienziati informatici del Georgia Institute of Technology di Atlanta. La squadra descrive dettagliatamente ciò che chiama "cappa e spada" exploit che possono assumere il controllo dell'interfaccia utente della maggior parte delle versioni di Android (inclusa la 7.1.2). Data la sua natura, è difficile da risolvere e anche difficile da rilevare.
Cloak and Dagger è un exploit che sfrutta due permessi per prendere il controllo dell'interfaccia utente senza dare all'utente la possibilità di notare l'attività dannosa. L'attacco utilizza due permessi: SYSTEM_ALERT_WINDOW ("disegna sopra") E BIND_ACCESSIBILITY_SERVICE ("a11a") che sono molto comunemente utilizzati nelle app Android.
Abbiamo lo ha delineato in passato, ma ciò che rende questa vulnerabilità così acuta è il fatto che alle applicazioni che richiedono SYSTEM_ALERT_WINDOW viene automaticamente concessa questa autorizzazione quando vengono installate tramite Google Play Store. Per quanto riguarda l'abilitazione di un servizio di accessibilità, un'applicazione dannosa è in grado abbastanza facilmente di indurre socialmente un utente a concederlo. L'applicazione dannosa potrebbe anche essere configurata per utilizzare un servizio di accessibilità per uno scopo semi-legittimo, come monitorare quando determinate applicazioni sono aperte per modificare determinate impostazioni.
Una volta concesse queste due autorizzazioni, il numero di attacchi che potrebbero verificarsi sono numerosi. Sono possibili il furto di PIN, token di autenticazione a due fattori, password o persino attacchi di negazione del servizio. Questo grazie alla combinazione di sovrapposizioni per indurre l'utente a pensare che sta interagendo con a app legittima e il servizio di accessibilità utilizzato per intercettare testo e input tattile (o inoltrare il proprio ingresso).
Abbiamo teorizzato una simile vulnerabilità qualche mese fa, creando un'applicazione proof-of-concept che utilizza SYSTEM_ALERT_WINDOW e BIND_ACCESSIBILITY_SERVICE per disegnare una sovrapposizione sulla schermata di immissione della password nell'app XDA Labs e intercettare l'input della chiave per scorrere Le password. L'applicazione che abbiamo immaginato sarebbe un'applicazione di gestione della rotazione automatica che utilizzerebbe una sovrapposizione allo scopo di disegnare una casella invisibile sullo schermo per controllare la rotazione (invece di richiedere WRITE_SETTINGS che alzerebbe flag) e un servizio di accessibilità per consentire all'utente di controllare la rotazione automatica dei profili su ogni app base. In teoria, questo sarebbe un esempio di un'applicazione che utilizza "mantello e spada". Tuttavia, nessuno nel nostro team era disposto a rischiare account sviluppatore sfidando i sistemi di scansione automatizzata delle app di Google per vedere se il nostro exploit proof-of-concept sarebbe consentito su Play Negozio.
In ogni caso, questi ricercatori hanno lavorato e presentato applicazioni di prova per dimostrare che l'uso di queste due autorizzazioni può effettivamente rappresentare un grave problema di sicurezza:
Come puoi vedere, gli attacchi sono invisibili agli utenti e consentono il pieno controllo del dispositivo. Attualmente tutte le versioni di Android a partire da Android 5.1.1 fino ad Android 7.1.2 sono vulnerabili a questo exploit, dato che sfrutta due permessi altrimenti utilizzati per scopi del tutto legittimi scopi.
Non aspettarti che una vera soluzione per questo problema arrivi presto sul tuo dispositivo, anche se va notato che modifiche apportate a SYSTEM_ALERT_WINDOW in Android O risolverà parzialmente questo difetto impedendo alle app dannose di disegnare completamente sull'intero schermo. Inoltre, Android O ora avvisa tramite notifica se un'applicazione sta disegnando attivamente un overlay. Con queste due modifiche, è meno probabile che un'applicazione dannosa riesca a farla franca con l'exploit Se l'utente è attento.
Come ti proteggi nelle versioni precedenti ad Android O? Come sempre, installa solo le app di cui ti fidi da fonti di cui ti fidi. Assicurati che le autorizzazioni richieste siano in linea con ciò che ti aspetti.
Per quanto riguarda le centinaia di milioni di utenti regolari là fuori, secondo un portavoce di Google Play Store Proteggi fornirà anche le correzioni necessarie per prevenire gli attacchi con mantello e pugnale. Non è chiaro come riuscirà esattamente a raggiungere questo obiettivo, ma si spera che implichi un modo per rilevare quando queste due autorizzazioni vengono utilizzate in modo dannoso. Dubito che sarebbe in grado di rilevare tutti questi casi, quindi in ogni caso è meglio monitorare quali autorizzazioni vengono concesse a ciascuna applicazione installata.