Tai, ką mes, XDA, kadaise įsivaizdavome kaip koncepcijos saugumo pažeidžiamumo įrodymą, dabar patvirtino Džordžijos technologijos instituto Atlantoje kompiuterių mokslininkai. Komanda detalizuoja, ką jie vadina "apsiaustą ir durkląIšnaudojimai, galintys perimti daugumos „Android“ versijų (įskaitant 7.1.2) vartotojo sąsają. Atsižvelgiant į jo pobūdį, jį sunku ištaisyti ir taip pat sunku aptikti.
Cloak and Dagger yra išnaudojimas, kuris naudojasi dviem leidimais, kad perimtų vartotojo sąsają nesuteikiant vartotojui galimybės pastebėti kenkėjiškos veiklos. Ataka naudoja du leidimus: SYSTEM_ALERT_WINDOW ("piešti ant viršaus“) ir BIND_ACCESSIBILITY_SERVICE ("a11m“), kurie labai dažnai naudojami „Android“ programose.
Mes turime tai apibūdino praeityje, tačiau šis pažeidžiamumas toks aštrus yra tai, kad programoms, kurios prašo SYSTEM_ALERT_WINDOW, automatiškai suteikiamas šis leidimas, kai jos įdiegiamos per „Google Play“ parduotuvę. Kalbant apie prieinamumo paslaugos įgalinimą, kenkėjiška programa gali gana lengvai socialiai priversti vartotoją ją suteikti. Kenkėjiška programa netgi gali būti nustatyta naudoti pritaikymo neįgaliesiems paslaugą pusiau teisėtam tikslui, pvz., stebėti, kada tam tikros programos yra atidarytos, kad būtų galima pakeisti tam tikrus nustatymus.
Suteikus šiuos du leidimus, gali įvykti daugybė atakų. Įmanomi PIN kodų, dviejų veiksnių autentifikavimo žetonų, slaptažodžių vagystės ar net atsisakymo teikti paslaugas atakos. Taip yra dėl perdangų derinio, kuris priverčia vartotoją manyti, kad jie sąveikauja su a teisėta programa ir pritaikymo neįgaliesiems paslauga, naudojama perimti tekstą ir liečiamą įvestį (arba perduoti savo įvestis).
Prieš kelis mėnesius sukūrėme teoriją apie tokį pažeidžiamumą, kur sukursime koncepcijos įrodymo programą, kuri naudoja SYSTEM_ALERT_WINDOW ir BIND_ACCESSIBILITY_SERVICE, kad nubrėžtumėte perdangą ant slaptažodžio įvedimo ekrano programoje XDA Labs ir perimtumėte klavišo įvestį, kad būtų galima perbraukti slaptažodžius. Ši programa, kurią įsivaizdavome, bus automatinio sukimosi valdymo programa, kuri naudotų perdangą, kad ekrane būtų nupieštas nematomas langelis. valdyti sukimąsi (o ne prašyti WRITE_SETTINGS, kuris pakeltų vėliavėles) ir pritaikymo neįgaliesiems paslaugą, leidžiančią vartotojui valdyti automatinį kiekvienos programos profilių pasukimą. pagrindu. Teoriškai tai būtų vienas programos, kurioje naudojamas „apsiaubas ir durklas“, pavyzdys. Tačiau nė vienas iš mūsų komandos nenorėjo rizikuoti kūrėjų paskyras iššūkį „Google“ automatinėms programų nuskaitymo sistemoms, kad sužinotų, ar mūsų koncepcijos įrodymo išnaudojimas būtų leidžiamas „Play“ Parduotuvė.
Bet kokiu atveju šie mokslininkai atliko darbą ir pateikė bandomąsias paraiškas, siekdami įrodyti, kad šių dviejų leidimų naudojimas iš tiesų gali būti pagrindinė saugumo problema:
Kaip matote, atakos vartotojams yra nematomos ir leidžia visiškai valdyti įrenginį. Šiuo metu visos „Android“ versijos nuo „Android 5.1.1“ iki „Android 7.1.2“ yra pažeidžiamos išnaudoti, atsižvelgiant į tai, kad jis naudojasi dviem leidimais, kurie kitu atveju naudojami visiškai teisėtam tikslai.
Nesitikėkite, kad ši problema greitai išspręs jūsų įrenginį, tačiau reikia pažymėti, kad atlikti SYSTEM_ALERT_WINDOW pakeitimai „Android O“ iš dalies pašalins šį trūkumą, neleisdamas kenkėjiškoms programoms visiškai piešti visame ekrane. Be to, „Android O“ dabar įspėja per pranešimą, jei programa aktyviai piešia perdangą. Atlikus šiuos du pakeitimus, mažiau tikėtina, kad kenkėjiška programa gali išsisukti nuo išnaudojimo jeigu vartotojas yra dėmesingas.
Kaip apsisaugoti naudojant ankstesnes „Android O“ versijas? Kaip visada, įdiekite tik tas programas, kuriomis pasitikite, iš šaltinių, kuriais pasitikite. Įsitikinkite, kad jų prašomi leidimai atitinka tai, ko tikitės.
Kalbant apie šimtus milijonų nuolatinių vartotojų, teigia „Google“ atstovas „Play Store Protect“. taip pat pateiks reikalingus pataisymus, kad būtų išvengta apsiaustų ir durklų atakų. Kaip tiksliai tai padarys, neaišku, bet tikimės, kad tai apima tam tikrą būdą aptikti, kada šie du leidimai naudojami piktybiškai. Vis dėlto abejoju, ar jis sugebėtų aptikti visus tokius atvejus, todėl bet kuriuo atveju geriausia stebėti, kokie leidimai suteikiami kiekvienai jūsų įdiegtai programai.