მკვლევარებმა აჩვენეს თავდასხმა სადღეგრძელო მესიჯის გამოყენებით, რომელსაც შეუძლია სოციალური ინჟინერია მომხმარებლისთვის სახიფათო ნებართვების მინიჭებაში Android-ზე.
Android არის საკმაოდ ღია პლატფორმა ფანტასტიკური დეველოპერის საზოგადოებასთან ერთად. ამ დეველოპერებიდან ბევრი შექმნის აპებს, პერსონალურ ROM-ებს და სხვა. ზოგიერთი ორგანიზაცია ასევე მონაწილეობს უსაფრთხოების ტესტირებაში, როგორიცაა Palo Alto Networks Unit 42. ამ ჯგუფმა აღმოაჩინა დაუცველობა Android Toast Message სისტემაში, რომელიც საშუალებას აძლევს თავდამსხმელმა შექმნას ფსევდო გადაფარვა, რათა მოატყუოს მომხმარებელი სახიფათო ნებართვების გარეშე ცოდნა. Ეს არის უკვე დაფიქსირდა სექტემბრის უსაფრთხოების განახლება და Android Oreo-შიასე რომ, დარწმუნებული იყავით, რომ თუ თქვენი ტელეფონი კვლავ იღებს ყოველთვიურ უსაფრთხოების პატჩებს, ან გაქვთ მოწყობილობა Android Oreo-ზე, თქვენ არ იქნებით დაუცველი ამ შეტევის მიმართ.
ყველა სხვა Android მოწყობილობა მგრძნობიარეა ამ შეტევაზე. ეს მუშაობს იმაში, რომ ის იყენებს სადღეგრძელოების შეტყობინებებს Android-ის შიგნით, რათა გვერდის ავლით „ზემოდან გათამაშების“ მოთხოვნას, ე.ი. გადაფარვის ნებართვა, რაც ასე ხდება "
მოსასხამი და ხანჯალი"ექსპლოიტმა იმუშავა. მკვლევარებმა გამოიყენეს ეს ექსპლუატაცია სოციალურად ინჟინერი მომხმარებლებისთვის, რათა მიეცათ ხელმისაწვდომობის სერვისი მათი თავდასხმის აპლიკაციისთვის, რაც მათ საშუალებას აძლევდა წაეკითხათ ეკრანის ყველა შინაარსი, ძირითადი შეყვანები და ა.შ. მოწყობილობაზე. შემდეგ მათ გამოიყენეს იგივე მეთოდი აპლიკაციის მომხმარებლების მოსაზიდად, რომ მიეცათ ადმინისტრატორის წვდომა, მაშინ როცა სრულიად არ იცოდნენ მათ მიერ ახლახან მინიჭებული წვდომის შესახებ. ეს საშუალებას აძლევს თავდამსხმელს დააინსტალიროს აპლიკაციები, დააკვირდეს მოწყობილობას და ასევე ხსნის გამოსასყიდის პოტენციალს.Android Toast Message Overlay Attack განმარტებულია
მაგრამ როგორ მუშაობს სინამდვილეში? The დეველოპერები კონცეფციის მტკიცებულების უკან გააზიარა მათი თავდასხმის ფაქტობრივი კოდი, რომელიც შეიცავს უფრო ტექნიკურ ახსნას დაუცველობის უკან. მაგრამ ჩვენ მოკლედ აგიხსნით როგორ და რატომ მუშაობს ეს ექსპლოიტი.
პირველ რიგში, თქვენ უნდა გაითვალისწინოთ რა არის სადღეგრძელო. ისინი უკვე წლებია Android-ზე არიან და თქვენ ალბათ უამრავ მათგანს გინახავთ თქვენს მოწყობილობაზე ყოველდღე. სადღეგრძელოები არის პატარა შეტყობინებები ეკრანის ბოლოში, რომლებიც ჩვეულებრივ ჩანს ნაცრისფერ ბუშტში ინფორმაციის ნაწილით.
ექსპლოიტი იყენებს სადღეგრძელოს შეტყობინებას ეკრანზე გადაფარვის შესაქმნელად, რეალურად მოთხოვნის ან საჭიროების გარეშე SYSTEM_ALERT_WINDOW ნებართვა, რომელიც უნდა იყოს მოთხოვნა ნებისმიერი აპლიკაციისთვის თქვენს ეკრანზე გადასაღებად. ამის ნაცვლად, ის უბიძგებს გადაფარვას სადღეგრძელოს შეტყობინებით, ქმნის ღილაკებს, რომლებიც თითქოს ლეგიტიმურად კეთილსაიმედოა. ნებართვა ან უაზრო მოთხოვნის მიღება, მაგრამ რეალურად არის მოწყობილობის ადმინისტრატორის ან ხელმისაწვდომობის წვდომის მინიჭებისთვის განაცხადი. ის ქმნის ორ ხედს სადღეგრძელოს გადაფარვის შიგნით.
ეს ყველაფერი შეიძლება გაკეთდეს ნებართვის წარუმატებელი შემოწმების გამო. Android სისტემა (წინა Oreo და სექტემბრამდელი უსაფრთხოების განახლება) რეალურად არ ამოწმებს რა იკვებება Android Toast Overlay სისტემით, სამაგიეროდ გასცემს ნებართვას შემოწმების გარეშე. ეს სავარაუდოდ იმიტომ ხდება, რომ Google-მა არ განჭვრიტა ხედის სადღეგრძელოს გადაფარვის საშუალებით ნახვის შესაძლებლობა.
Android 7.1-ის მცდელობა გამოასწოროს Android Toast Overlay Attack
Android 7.1-ში, როგორც ჩანს, Google-მა სცადა ამ ექსპლოიტის დაბლოკვა. შემოღებული იყო სადღეგრძელო შეტყობინებების ვადა და შეიქმნა შეზღუდვა: მხოლოდ 1 სადღეგრძელო შეტყობინება UID-ზე, აპლიკაციის პროცესის ID. ამის მარტივად გვერდის ავლით განმეორებითი ციკლი და მეტი სადღეგრძელოების გადაფარვის ჩვენება მოხდა, ასე რომ, მომხმარებელს ეძლევა ილუზია, რომ ეს არის თანმიმდევრული UI. თუ მარყუჟი არ შეიქმნებოდა, 3,5 წამის შემდეგ გადაფარვა გაქრებოდა და მომხმარებელი დაინახავდა, რის გაკეთებას ითხოვს აპი მომხმარებლისგან - მოწყობილობის ადმინისტრატორის ან ხელმისაწვდომობის უფლებების მინიჭება.
წარმატებული თავდასხმის შედეგები
მოწყობილობის ადმინისტრატორის ან ხელმისაწვდომობის ნებართვები, როდესაც აპლიკაციისთვის მინიჭებულია, შეიძლება ადვილად იქნას გამოყენებული მრავალი სახის მავნე თავდასხმისთვის. Ransomware, keyloggers და მოწყობილობის საწმენდები შეიძლება შეიქმნას ამ ექსპლოიტის გამოყენებით.
აპლიკაციებს არ სჭირდებათ რაიმე ნებართვა სადღეგრძელო შეტყობინების საჩვენებლად, თუმცა აშკარად მავნე აპლიკაცია მაინც სჭირდება BIND_ACCESSIBILITY_SERVICE, ისევე როგორც BIND_DEVICE_ADMIN, რათა ეფექტურად გამოიყენოს ეს სადღეგრძელო თავდასხმა. ამრიგად, თქვენი საუკეთესო თავდაცვის ხაზი ამ ტიპის თავდასხმისგან, თუ თქვენი მოწყობილობა ჯერ არ არის დაყენებული, არის ნებართვების შემოწმება, რომლებიც აპლიკაციამ განსაზღვრა AndroidManifest-ში მისი ინსტალაციისას. თუ დააინსტალირებთ აპს და არ ხართ დარწმუნებული, რატომ სჭირდება ამ აპს Accessibility Service ან Device Admin-ის პრივილეგიები, მაშინ დაუყოვნებლივ წაშალეთ იგი და დაუკავშირდით დეველოპერს.
შემაშფოთებელია, რომ Android-ის ასეთი მარტივი ნაწილი, დაბალი სადღეგრძელო, შეიძლება გამოყენებულ იქნას მომხმარებლის სოციალური ინჟინერიისთვის საშიში ნებართვების მინიჭებისთვის. ჩვენ ვიმედოვნებთ, რომ მწარმოებლები გამოაქვეყნებენ სექტემბრის უსაფრთხოების პატჩებს, როგორც კი შეძლებენ მოწყობილობებზე, რათა დაიცვან მილიონები, რომლებიც შეიძლება ადვილად დაემორჩილონ ასეთ ექსპლუატაციას.