Tyrėjai pademonstravo ataką naudojant „Toast Message“, kuri gali socialiai priversti vartotoją suteikti pavojingus leidimus „Android“.
„Android“ yra gana atvira platforma su fantastiška kūrėjų bendruomene. Daugelis šių kūrėjų kurs programas, pasirinktinius ROM ir kt. Kai kurios organizacijos taip pat užsiima saugumo testavimu, pavyzdžiui, „Palo Alto Networks Unit 42“. Ši grupė aptiko „Android Toast Message“ sistemos pažeidžiamumą, kuris leidžia užpuolikas, kad sukurtų pseudoperdangą, kad apgaulė vartotoją suteiktų pavojingus leidimus be jų žinių. Tai yra jau nustatyta Rugsėjo mėnesio saugos naujinimas ir „Android Oreo“., todėl būkite tikri, kad jei jūsų telefonas vis tiek kas mėnesį gauna saugos pataisas arba turite įrenginį su Android Oreo, nesate pažeidžiami šios atakos.
Visi kiti „Android“ įrenginiai yra jautrūs šiam puolimui. Tai veikia taip, kad „Android“ išnaudoja pranešimus apie tostą, kad apeitų reikalavimą „piešti viršuje“, ty. perdangos leidimas, taigi „Apsiaustas ir durklas“ išnaudojimas suveikė. Tyrėjai naudojo šį išnaudojimą, siekdami socialiai inžineruoti vartotojus, kad jie suteiktų pritaikymo neįgaliesiems paslaugą savo atakuojančiai programai, leisdami jiems perskaityti visą ekrano turinį, pagrindinius įvestis ir kt. prietaise. Tada jie naudojo tą patį metodą, norėdami paskatinti programos vartotojus suteikti administratoriaus prieigą, visiškai nežinodami apie ką tik suteiktą prieigą. Tai leidžia užpuolikui įdiegti programas, stebėti įrenginį, taip pat atveria išpirkos reikalaujančių programų potencialą.
„Android Toast“ pranešimų perdangos ataka paaiškinta
Bet kaip tai iš tikrųjų veikia? The kūrėjai už koncepcijos įrodymą pasidalijo tikru savo atakos šaltinio kodu, kuriame yra techninis pažeidžiamumo paaiškinimas. Tačiau trumpai paaiškinsime, kaip ir kodėl veikia šis išnaudojimas.
Pirmiausia turite apsvarstyti, kas yra tosto žinutė. Jie jau daugelį metų naudojami „Android“ ir tikriausiai kiekvieną dieną matėte daugybę jų savo įrenginyje. Tostai yra maži pranešimai ekrano apačioje, kurie paprastai rodomi pilkame burbule su informacijos dalimi.
Išnaudojimas naudoja skrudinimo pranešimą, kad sukurtų ekrano perdangą, iš tikrųjų neprašant ir to nereikalaujant SYSTEM_ALERT_WINDOW leidimas, kuris turėtų būti reikalingas bet kuriai programai, kad ji galėtų nubrėžti jūsų ekraną. Vietoj to, jis perkelia perdangą per pranešimą apie skrudinimą ir sukuria mygtukus, kurie atrodo kaip skirti teisėtai suteikti gerybinį leidimą arba priimti beprasmį raginimą, bet iš tikrųjų yra skirti įrenginio administratoriui arba pritaikymui suteikti prieigą prie taikymas. Tai sukuria du vaizdus skrebučio perdangoje.
Visa tai galima padaryti dėl nepavykusio leidimo patikrinimo. „Android“ sistema (saugos naujinys prieš „Oreo“ ir prieš rugsėjį) iš tikrųjų netikrina, kas tiekiama per „Android Toast Overlay“ sistemą, o suteikia leidimą nepatikrinusi. Tikėtina, kad „Google“ nenumatė galimybės pateikti vaizdą per skrebučio perdangą.
„Android 7.1“ bandymas ištaisyti „Android Toast“ perdangos ataką
Atrodo, kad „Android 7.1“ sistemoje „Google“ bandė užblokuoti šį išnaudojimą. Buvo įvestas skrudinimo pranešimų skirtasis laikas ir sukurtas apribojimas: tik 1 tosto pranešimas vienam UID, programos proceso ID. Tai buvo nesunku apeiti pakartotinai aplenkiant ir vietoj to rodant daugiau skrudintų perdangų, todėl vartotojui susidaro iliuzija, kad tai yra nuosekli vartotojo sąsaja. Jei ciklas nebūtų sukurtas, po 3,5 sekundės perdanga išnyktų ir vartotojas pamatytų, ko programėlė iš tikrųjų prašo vartotojo – suteikti įrenginio administratoriaus arba pritaikymo neįgaliesiems teises.
Sėkmingo puolimo pasekmės
Įrenginio administratoriaus arba pritaikymo neįgaliesiems leidimai, kai jie suteikiami programai, gali būti lengvai išnaudojami įvairioms kenkėjiškoms atakoms. Naudojant šį išnaudojimą galima sukurti „ransomware“, „keyloggers“ ir įrenginio valytuvus.
Programoms nereikia jokių leidimų, kad būtų rodomas tostas pranešimas, nors akivaizdu, kad kenkėjiška programa vis tiek reikia BIND_ACCESSIBILITY_SERVICE ir BIND_DEVICE_ADMIN, kad būtų galima efektyviai išnaudoti šią skrebučio perdangą puolimas. Taigi geriausia apsisaugoti nuo tokio pobūdžio atakų, jei įrenginys dar nepataisytas, yra patikrinti leidimus, kuriuos programa apibrėžė „AndroidManifest“ ją diegdama. Jei įdiegiate programą ir nesate tikri, kodėl tai programai reikia pritaikymo neįgaliesiems paslaugos arba įrenginio administratoriaus teisių, nedelsdami ją pašalinkite ir susisiekite su kūrėju.
Nerimą kelia tai, kad tokia paprasta „Android“ dalis, skrupulingas pranešimas, gali būti panaudotas siekiant socialiai priversti vartotoją suteikti pavojingus leidimus. Tikimės, kad gamintojai kuo greičiau išleis rugsėjo mėnesio saugos pataisas įrenginiams, kad apsaugotų milijonus, kurie gali lengvai susižavėti tokiu išnaudojimu.