Nieuwe kwetsbaarheid voor Android-apps verleidt gebruikers om opnameschermen te openen

Een nieuwe Android-kwetsbaarheid ontdekt door MWR InfoSecurity beschrijft hoe apps gebruikers kunnen misleiden om hun schermen op te nemen zonder hun medeweten.

Android staat op miljarden apparaten wereldwijd en elke dag worden er nieuwe kwetsbaarheden ontdekt. Nu is er een exploit ontdekt door MWR InfoSecurity beschrijft hoe applicaties in Android-versies tussen 5.0 en 7.1 gebruikers kunnen misleiden om zonder hun medeweten scherminhoud op te nemen.

Het gaat om Android Mediaprojectie framework, gelanceerd met 5.0 Lollipop en gaf ontwikkelaars de mogelijkheid om het scherm van een apparaat vast te leggen en systeemaudio op te nemen. In alle Android-versies vóór 5.0 Lollipop moesten schermvullende applicaties met rootrechten draaien of moesten ze worden ondertekend met speciale sleutels, maar in nieuwere versies van Android hebben ontwikkelaars geen rootrechten nodig om de MediaProjection-service te gebruiken en hoeven ze geen aangifte te doen rechten.

Normaal gesproken vraagt ​​een applicatie die het MediaProjection-framework gebruikt om toegang tot de service via een

bedoeling, die Android aan de gebruiker presenteert als een SystemUI-pop-up. MWR InfoSecurity ontdekte dat een aanvaller een normale SystemUI-pop-up kon overlappen met een lokmiddel om de gebruiker te misleiden zodat hij de applicatie toestemming gaf om schermopnamen te maken. De reden? Android-versies nieuwer dan 5.0 Lollipop kunnen SystemUI-pop-ups niet detecteren die gedeeltelijk verborgen zijn.

Deze kwetsbaarheid is momenteel alleen gepatcht Android 8.0 Oreo, aldus het rapport, en omdat de meeste Android-smartphones niet op de nieuwste versie van Android draaien, blijft dit een ernstig risico. Ongeveer 77,5% van de actieve Android-apparaten is vanaf 2 oktober kwetsbaar voor de aanval MWR InfoSecurity.

Er is geen kortetermijnoplossing voor het upgradeprobleem; dat ligt bij de telefoonfabrikanten. In de tussentijd kunnen Android-ontwikkelaars zich echter tegen de aanval verdedigen door de FLAG_SECURE layout-parameter via de WindowManager van hun applicatie, die ervoor zorgt dat de inhoud van de applicatie vensters worden als veilig behandeld en voorkomen dat ze in schermafbeeldingen verschijnen of op niet-beveiligde schermen worden bekeken displays.

Aan de gebruikersgerichte kant van de zaak, MWR InfoSecurity voegt eraan toe dat deze aanval niet volledig ondetecteerbaar is. In het rapport staat:

"Wanneer een applicatie toegang krijgt tot de MediaProjection Service, genereert deze een virtueel display dat het screencast-pictogram in de notificatiebalk activeert. Als gebruikers een screencast-pictogram in de meldingsbalk van hun apparaat zien, moeten ze de applicatie/het proces onderzoeken dat momenteel op hun apparaat wordt uitgevoerd."

Het moraal van het verhaal? Wees voorzichtig met welke apps u downloadt.


Bron: MWR InfoSecurity