פגיעות חדשה של אפליקציית אנדרואיד מרמה משתמשים למסכי הקלטה

אנדרואיד נמצא במיליארדי מכשירים ברחבי העולם, ופגיעויות חדשות מתגלות מדי יום. עכשיו, ניצול שהתגלה על ידי MWR InfoSecurity מפרט כיצד יישומים בגרסאות אנדרואיד בין 5.0 ל-7.1 יכולים להערים על משתמשים להקליט תוכן מסך ללא ידיעתם.

זה כרוך באנדרואיד MediaProjection framework, שהושק עם 5.0 Lollipop ונתן למפתחים את היכולת ללכוד מסך של מכשיר ולהקליט אודיו של המערכת. בכל גרסאות האנדרואיד לפני 5.0 Lollipop, יישומי תופסת מסך נדרשו לפעול עם הרשאות שורש או שהיה צריך להיות חתום עם מיוחד מפתחות, אך בגרסאות חדשות יותר של אנדרואיד, מפתחים אינם זקוקים להרשאות שורש כדי להשתמש בשירות MediaProjection ואינם נדרשים להצהיר הרשאות.

בדרך כלל, אפליקציה שמשתמשת במסגרת MediaProjection מבקשת גישה לשירות באמצעות כוונה, אשר אנדרואיד מציגה למשתמש כחלון קופץ של SystemUI. MWR InfoSecurity גילה שתוקף יכול לכסות חלון קופץ רגיל של SystemUI עם פתיל כדי להערים על המשתמש להעניק לאפליקציה הרשאות הקלטת מסך. הסיבה? גרסאות אנדרואיד חדשות יותר מ-5.0 Lollipop אינן מסוגלות לזהות חלונות קופצים של SystemUI המוסתרים חלקית.

פגיעות זו תוקנה כעת רק אנדרואיד 8.0 אוראו, קובע הדו"ח, ומכיוון שרוב הסמארטפונים של אנדרואיד אינם מריצים את הגרסה העדכנית ביותר של אנדרואיד, זה נותר סיכון רציני. כ-77.5% ממכשירי האנדרואיד הפעילים חשופים למתקפה נכון ל-2 באוקטובר, לפי MWR InfoSecurity.

אין פתרון לטווח קצר לבעיית השדרוג - זה אצל יצרני הטלפונים. בינתיים, מפתחי אנדרואיד יכולים להתגונן מפני המתקפה על ידי הפעלת ה FLAG_SECURE פרמטר פריסה דרך ה-WindowManager של האפליקציה שלהם, המבטיח את התוכן של האפליקציה חלונות מטופלים כאל מאובטחים ומונעים מהם להופיע בצילומי מסך או לצפייה במצב לא מאובטח מציג.

בפן הפונה למשתמש של הדברים, MWR InfoSecurity מוסיף שהתקפה זו אינה בלתי ניתנת לזיהוי לחלוטין. הדוח קובע:

"כאשר אפליקציה זוכה לגישה לשירות MediaProjection, היא מייצרת תצוגה וירטואלית אשר מפעילה את סמל שידור המסך בסרגל ההתראות. אם משתמשים יראו סמל של שידור מסך בסרגל ההתראות של המכשירים שלהם, עליהם לחקור את האפליקציה/תהליך הפועל כעת במכשירים שלהם."

מוסר ההשכל של הסיפור? היזהר לגבי האפליקציות שאתה מוריד.

---

מקור: MWR InfoSecurity