מה שראינו פעם ב-XDA כהוכחה לקונספט פגיעות אבטחה אושר כעת על ידי מדעני מחשבים במכון הטכנולוגי של ג'ורג'יה באטלנטה. הצוות מפרט איך הם קוראים "גלימה ופגיון" מנצלים שיכולים להשתלט על ממשק המשתמש של רוב הגרסאות של אנדרואיד (כולל 7.1.2). בהתחשב בטבעו, קשה לתקן וגם קשה לזהות.
Cloak and Dagger הוא ניצול המנצל שתי הרשאות על מנת להשתלט על ממשק המשתמש מבלי לתת למשתמש הזדמנות להבחין בפעילות הזדונית. המתקפה משתמשת בשתי הרשאות: SYSTEM_ALERT_WINDOW ("לצייר למעלה") ו BIND_ACCESSIBILITY_SERVICE ("a11y") שנמצאים בשימוש נפוץ מאוד באפליקציות אנדרואיד.
יש לנו תיאר זאת בעבר, אבל מה שהופך את הפגיעות הזו לכל כך חריפה היא העובדה שיישומים המבקשים את SYSTEM_ALERT_WINDOW מקבלים הרשאה זו באופן אוטומטי כשהן מותקנות דרך חנות Google Play. באשר להפעלת שירות נגישות, אפליקציה זדונית מסוגלת להנדס בקלות חברתית משתמש להעניק אותו. ניתן אפילו להגדיר את האפליקציה הזדונית לשימוש בשירות נגישות למטרה לגיטימית למחצה, כגון ניטור מתי יישומים מסוימים פתוחים כדי לשנות הגדרות מסוימות.
לאחר שניתנו שתי ההרשאות הללו, מספר ההתקפות שעלולות להתרחש הוא רב. גניבת קוד PIN, אסימוני אימות דו-גורמיים, סיסמאות או אפילו התקפות מניעת שירות אפשריים. זאת הודות לשילוב של שכבות-על כדי להטעות את המשתמש לחשוב שהוא מקיים אינטראקציה עם a אפליקציה לגיטימית ושירות הנגישות המשמשים ליירט קלט טקסט ומגע (או להעביר משלו קֶלֶט).
העלינו תיאוריה של פגיעות כזו לפני כמה חודשים, שבה ניצור יישום הוכחת קונספט המשתמש ב-SYSTEM_ALERT_WINDOW ו BIND_ACCESSIBILITY_SERVICE כדי לצייר שכבת-על על מסך הזנת הסיסמה באפליקציית XDA Labs וליירט קלט מפתח כדי להחליק סיסמאות. יישום זה שחשבנו יהיה יישום לניהול סיבוב אוטומטי אשר ישתמש בשכבת-על למטרות ציור תיבה בלתי נראית על המסך שליטה בסיבוב (במקום לבקש WRITE_SETTINGS שיעלה דגלים) ושירות נגישות כדי לאפשר למשתמש לשלוט בפרופילים בסיבוב אוטומטי בכל אפליקציה בָּסִיס. בתיאוריה, זו תהיה דוגמה אחת ליישום המשתמש ב"גלימה ופגיון". עם זאת, אף אחד בצוות שלנו לא היה מוכן לסכן את שלו חשבונות מפתחים על ידי קריאת תיגר על מערכות סריקת האפליקציות האוטומטיות של גוגל כדי לראות אם ניצול ההוכחה שלנו יתאפשר ב-Play חנות.
בכל מקרה, החוקרים הללו עשו את העבודה והגישו בקשות לבדיקה כדי להוכיח שהשימוש בשתי ההרשאות הללו אכן יכול להיות בעיית אבטחה מרכזית:
כפי שניתן לראות, ההתקפות אינן נראות למשתמשים ומאפשרות שליטה מלאה על המכשיר. כרגע כל הגרסאות של אנדרואיד החל מאנדרואיד 5.1.1 עד אנדרואיד 7.1.2 פגיעות לכך לנצל, בהתחשב בעובדה שהוא מנצל שתי הרשאות בשימוש אחר לגיטימי לחלוטין מטרות.
אל תצפה שתיקון אמיתי לבעיה זו יגיע למכשיר שלך בקרוב, אם כי יש לציין כי בוצעו שינויים ב-SYSTEM_ALERT_WINDOW ב-Android O יפתור חלקית את הפגם הזה על ידי אי אישור לאפליקציות זדוניות לצייר לחלוטין על המסך כולו. יתר על כן, אנדרואיד O מתריע כעת באמצעות התראה אם אפליקציה מצייר באופן פעיל שכבת-על. עם שני השינויים האלה, פחות סביר שאפליקציה זדונית יכולה לברוח מהניצול אם המשתמש קשוב.
איך אתה מגן על עצמך בגרסאות לפני Android O? כמו תמיד, התקן רק אפליקציות שאתה סומך עליהן ממקורות שאתה סומך עליהם. ודא שההרשאות שהם מבקשים תואמות למה שאתה מצפה.
באשר למאות מיליוני המשתמשים הרגילים בחוץ, על פי דובר גוגל Play Store Protect יספק גם תיקונים הדרושים כדי למנוע את התקפות הגלימה והפגיון. לא ברור איך בדיוק זה ישיג את זה, אבל אני מקווה שזה כרוך באיזושהי דרך לזהות מתי נעשה שימוש זדוני בשתי ההרשאות הללו. עם זאת, אני בספק אם הוא יוכל לזהות את כל המקרים האלה, אז בכל מקרה עדיף לך לעקוב אחר ההרשאות הניתנות לכל אפליקציה שתתקין.