Ny sårbarhet i Android-apper lurer brukere til opptaksskjermer

En ny Android-sårbarhet oppdaget av MWR InfoSecurity beskriver hvordan apper kan lure brukere til å ta opp skjermene sine uten deres viten.

Android er på milliarder av enheter over hele verden, og nye sårbarheter oppdages hver dag. Nå, en utnyttelse oppdaget av MWR InfoSecurity detaljer hvordan applikasjoner i Android-versjoner mellom 5.0 og 7.1 kan lure brukere til å ta opp skjerminnhold uten deres viten.

Det involverer Android MediaProjection rammeverk, som ble lansert med 5.0 Lollipop og ga utviklere muligheten til å fange opp en enhets skjerm og ta opp systemlyd. I alle Android-versjoner før 5.0 Lollipop, var skjermfangende applikasjoner pålagt å kjøre med root-privilegier eller måtte signeres med spesielle nøkler, men i nyere versjoner av Android trenger ikke utviklere root-privilegier for å bruke MediaProjection-tjenesten og er ikke pålagt å deklarere tillatelser.

Normalt ber en applikasjon som bruker MediaProjection-rammeverket tilgang til tjenesten via en hensikt, som Android presenterer for brukeren som en SystemUI-popup.

MWR InfoSecurity oppdaget at en angriper kunne overlappe en vanlig SystemUI-pop-up med et lokkemiddel for å lure brukeren til å gi programmet skjermopptakstillatelser. Grunnen? Android-versjoner nyere enn 5.0 Lollipop er ikke i stand til å oppdage SystemUI-popup-vinduer som er delvis skjult.

Denne sårbarheten er foreløpig bare lappet inn Android 8.0 Oreo, heter det i rapporten, og fordi et flertall av Android-smarttelefoner ikke kjører den nyeste versjonen av Android, er det fortsatt en alvorlig risiko. Omtrent 77,5 % av aktive Android-enheter er sårbare for angrepet per 2. oktober, ifølge MWR InfoSecurity.

Det er ingen kortsiktig løsning på oppgraderingsproblemet – det er telefonprodusenter. I mellomtiden kan Android-utviklere imidlertid forsvare seg mot angrepet ved å aktivere FLAG_SECURE layout parameter via deres applikasjons WindowManager, som sikrer at innholdet i applikasjonen vinduer behandles som sikre og hindrer dem i å vises i skjermbilder eller fra å bli sett på usikre viser.

På den brukervendte siden av ting, MWR InfoSecurity legger til at dette angrepet ikke er helt uoppdagelig. Rapporten sier:

"Når en applikasjon får tilgang til MediaProjection-tjenesten, genererer den en virtuell skjerm som aktiverer screencast-ikonet i varslingslinjen. Hvis brukere ser et screencast-ikon i enhetens varslingslinje, bør de undersøke applikasjonen/prosessen som kjører på enhetene deres.»

Moralen i historien? Vær forsiktig med hvilke apper du laster ned.


Kilde: MWR InfoSecurity