Оно што смо у КСДА некада замишљали као доказ рањивости концепта безбедности, сада су потврдили компјутерски научници са Технолошког института Џорџије у Атланти. Тим описује како зову "огртач и бодеж" експлоатације које могу да преузму кориснички интерфејс већине верзија Андроид-а (укључујући 7.1.2). С обзиром на његову природу, тешко га је поправити и такође тешко открити.
Плашт и бодеж је експлоатација која користи две дозволе како би преузела контролу над корисничким интерфејсом без давања кориснику прилике да примети злонамерну активност. Напад користи две дозволе: СИСТЕМ_АЛЕРТ_ВИНДОВ ("нацртати на врху") и БИНД_АЦЦЕССИБИЛИТИ_СЕРВИЦЕ ("а11и") који се врло често користе у Андроид апликацијама.
Имамо оцртао ово у прошлости, али оно што ову рањивост чини тако акутном је чињеница да апликацијама које захтевају СИСТЕМ_АЛЕРТ_ВИНДОВ аутоматски додељује ова дозвола када се инсталирају преко Гоогле Плаи продавнице. Што се тиче омогућавања услуге приступачности, злонамерна апликација може прилично лако да друштвено подеси корисника да је одобри. Злонамерна апликација би се чак могла подесити да користи услугу приступачности у полулегитимне сврхе, као што је надгледање када су одређене апликације отворене да би се променила одређена подешавања.
Када се ове две дозволе дају, број напада који би се могао десити је велики. Могућа је крађа ПИН-ова, двофакторних токена за аутентификацију, лозинки или чак напади ускраћивања услуге. Ово је захваљујући комбинацији преклапања да би преварили корисника да помисли да је у интеракцији са а легитимна апликација и услуга приступачности која се користи за пресретање текста и уноса додиром (или преношење сопственог улазни).
Теоретизирали смо такву рањивост прије неколико мјесеци, при чему бисмо креирали апликацију за потврду концепта која користи СИСТЕМ_АЛЕРТ_ВИНДОВ и БИНД_АЦЦЕССИБИЛИТИ_СЕРВИЦЕ да бисте нацртали преклапање преко екрана за унос лозинке у апликацији КСДА Лабс и пресретнули унос кључа за превлачење лозинке. Ова апликација коју смо замислили да буде апликација за управљање аутоматском ротацијом која би користила преклапање за потребе цртања невидљивог оквира на екрану за контролна ротација (уместо захтева ВРИТЕ_СЕТТИНГС који би подигао заставице) и услугу приступачности која омогућава кориснику да контролише аутоматско ротирање профила у апликацији основу. У теорији, ово би био један пример апликације која користи „огртач и бодеж“. Међутим, нико из нашег тима није био спреман да ризикује своје налоге програмера изазивањем Гоогле-ових аутоматизованих система за скенирање апликација да би видели да ли ће наша експлоатација доказа о концепту бити дозвољена на Плаи-у Продавница.
У сваком случају, ови истраживачи су обавили посао и поднели тестне апликације како би доказали да коришћење ове две дозволе заиста може бити велики безбедносни проблем:
Као што видите, напади су невидљиви за кориснике и омогућавају потпуну контролу над уређајем. Тренутно су све верзије Андроид-а, почев од Андроид 5.1.1 до Андроид 7.1.2, рањиве на ово екплоит, с обзиром на чињеницу да користи две дозволе које се иначе користе за потпуно легитимно сврхе.
Не очекујте да ће истинско решење за овај проблем ускоро доћи на ваш уређај, иако треба напоменути да је измене направљене у СИСТЕМ_АЛЕРТ_ВИНДОВ у Андроиду О ће делимично решити овај недостатак тако што ће онемогућити злонамерним апликацијама да се у потпуности цртају преко целог екрана. Штавише, Андроид О сада упозорава путем обавештења ако апликација активно црта преклапање. Са ове две промене, мање је вероватно да ће се злонамерна апликација извући са експлоатацијом ако корисник је пажљив.
Како да се заштитите на верзијама пре Андроид О? Као и увек, инсталирајте само апликације у које верујете из извора којима верујете. Уверите се да су дозволе које траже у складу са оним што очекујете.
Што се тиче стотина милиона редовних корисника тамо, према портпаролу Гоогле-а Заштита Плаи продавнице такође ће обезбедити неопходне поправке за спречавање напада плаштом и бодежом. Како ће то тачно постићи није јасно, али надамо се да укључује неки начин откривања када се ове две дозволе користе злонамерно. Сумњам да би могао да открије све такве случајеве, па је у сваком случају најбоље да пратите које дозволе се дају свакој апликацији коју инсталирате.