Nowa luka w Androidzie odkryta przez MWR InfoSecurity szczegółowo opisuje, w jaki sposób aplikacje mogą oszukać użytkowników, aby nagrywali ekrany bez ich wiedzy.
Android jest zainstalowany na miliardach urządzeń na całym świecie i każdego dnia odkrywane są nowe luki w zabezpieczeniach. Teraz exploit odkryty przez Bezpieczeństwo informacji MWR szczegółowo opisuje, w jaki sposób aplikacje na Androida w wersjach od 5.0 do 7.1 mogą nakłonić użytkowników do nagrywania zawartości ekranu bez ich wiedzy.
Dotyczy to Androida Projekcja multimediów framework, który został uruchomiony w wersji 5.0 Lollipop i dał programistom możliwość przechwytywania ekranu urządzenia i nagrywania dźwięku systemowego. We wszystkich wersjach Androida wcześniejszych niż 5.0 Lollipop aplikacje przechwytujące ekran musiały działać z uprawnieniami roota lub musiały być podpisane specjalnym klucze, ale w nowszych wersjach Androida programiści nie potrzebują uprawnień roota, aby korzystać z usługi MediaProjection i nie muszą deklarować uprawnienia.
Zwykle aplikacja korzystająca ze środowiska MediaProjection żąda dostępu do usługi za pośrednictwem pliku zamiar, który Android przedstawia użytkownikowi jako wyskakujące okienko SystemUI. Bezpieczeństwo informacji MWR odkryło, że osoba atakująca może nałożyć na normalne wyskakujące okienko SystemUI przynętę, aby nakłonić użytkownika do przyznania aplikacji uprawnień do nagrywania ekranu. Powód? Wersje Androida nowsze niż 5.0 Lollipop nie są w stanie wykryć wyskakujących okienek SystemUI, które są częściowo zasłonięte.
Luka ta została obecnie jedynie załatana Androida 8.0 Oreo– stwierdza raport, a ponieważ większość smartfonów z Androidem nie ma najnowszej wersji Androida, stanowi to poważne ryzyko. Według stanu na 2 października około 77,5% aktywnych urządzeń z Androidem było podatnych na ataki Bezpieczeństwo informacji MWR.
Nie ma krótkoterminowego rozwiązania problemu z aktualizacją – to wina producentów telefonów. W międzyczasie jednak programiści Androida mogą bronić się przed atakiem, włączając FLAG_BEZPIECZNA parametr układu za pośrednictwem Menedżera okien aplikacji, co zapewnia, że zawartość aplikacji okna są traktowane jako bezpieczne i uniemożliwiają ich pojawienie się na zrzutach ekranu lub przeglądanie ich w trybie niezabezpieczonym wyświetla.
Po stronie użytkownika, Bezpieczeństwo informacji MWR dodaje, że atak ten nie jest całkowicie niewykrywalny. W raporcie stwierdza się:
„Kiedy aplikacja uzyskuje dostęp do usługi MediaProjection, generuje wirtualny wyświetlacz, który aktywuje ikonę screencastu na pasku powiadomień. Jeśli użytkownicy zobaczą ikonę screencastu na pasku powiadomień swoich urządzeń, powinni sprawdzić aplikację/proces aktualnie uruchomiony na ich urządzeniach.
Morał z tej historii? Uważaj, jakie aplikacje pobierasz.
Źródło: MWR InfoSecurity