Тапјацкинг се вратио у Андроид Марсхмаллов, а нико није приметио

Одређени Марсхмаллов уређаји су подложни тапјацкингу, где апликација прекрива текст на врху дијалога за дозволе да би преварила корисника.

Док многи од нас пљуваче због недавно објављеног Андроид Ноугат-а за Некус уређаје, велика већина корисника још увек користи Андроид Марсхмаллов. Експлоатација чије је постојање од тада документовано барем средином 2015 и даље утиче на многе модерне Андроид уређаје.

Злонамерне апликације су у стању да тапјацк ваше акције у дајући им дозволу коју никада нисте изричито дали. Ево како експлоатација функционише.


Повратак тапјацкинга

Замислите да отворите Инстаграм и покушате да поделите слику коју сте недавно снимили док сте били на одмору. Када изаберете да прегледате своју галерију за слику, Инстаграм тражи од вас да му дате дозволу за приступ вашем складишту. Али када додирнете „да“, видећете поруку о грешци.

Не можете да доделите дозволу за складиштење за Инстаграм јер имате омогућено активно преклапање екрана - ин ово кућиште, једна од многих апликација које затамњују ваш екран тако да можете да користите телефон ноћу без заслепљивања себе. Ово је случај Андроид система дозвола

ради како је предвиђено: да бисте апликацији дали осетљиву дозволу, од вас се тражи да онемогућите све преклапања екрана које имате на свом уређају.

Марсхмаллов Пермиссион Тапјацкинг. Додиром на „Дозволи“ ће се приказати сви моји контакти.

Апликације које имају могућност да цртају преко екрана могу вас потенцијално преварити да му унесете осетљиве податке. На пример, преклапање екрана би могло да постави лажни унос лозинке на прави екран за пријаву како би прикупио ваше лозинке. Овакав подвиг се зове 'тапјацкинг' и појавио се и био закрпљен на различитим верзијама Андроид-а током година, са један од најгорих примера који траје до Андроида 4.0.3. Али недавно, експлоатација се вратила са Андроид Марсхмаллов-ов модел дозволе за време рада.

Програмер по имену Иво Банас створио ан апликација демонстрирајући подвиг. Начин на који функционише је прилично једноставан - када апликација прикаже дијалог за дозволе, злонамерна апликација који сте инсталирали приказаће системски преклоп који ће прикрити текстуални блок дијалога дозвола било којим текстом жели. Несвесни корисник који кликне на „Дозволи“ у дијалогу за дозволе биће преварен да додели дозволу коју су тражили – али за коју је захтев био скривен од погледа корисника. Такав експлоатација потпуно поништава сврху система дозвола Андроид Марсхмаллов-а, од увођења нови модел је требало да обезбеди да корисници добију само дозволе на које су изричито пристали.

Сада, знам на шта мислиш. Ако је Андроид открио системски преклоп и спречио ме да доделим дозволе за складиштење на Инстаграму, зар не би спречио да се деси овај експлоат? Одговор је не, у мом тестирању се чини да на одређеним уређајима приказивање преклапања текста на врху дијалога за дозволе не покреће сигурносни механизам. Програмер апликације за тапјацкинг за доказ концепта наводи да је експлоатација ефикасна јер ослања се на то да корисник инсталира секундарну злонамерну апликацију која циља АПИ ниво 22 и нижи (пре Марсхмаллов). То је због чињенице да су пре Андроид Марсхмаллов-а све апликације добиле дозволе током инсталације.

У реду, дакле, ако сте на Марсхмаллов-у, све што би требало да урадите је да избегнете инсталирање било које апликације у коју немате поверења, а која захтева дозволу за цртање преклапања, зар не? Да је Андроидов модел дозвола функционисао како је првобитно постављен, били бисте у праву. Али од открића овог подвига, чак и апликације које циљају АПИ ниво 23 (Марсхмаллов) који захтевају дозволу за преклапање представљају потенцијални ризик.


Празнина у моделу дозвола?

Типичне апликације које користе преклапања. преко: Средње

Ако сте један од многих милиона људи који користе Фацебоок Мессенгер за ћаскање са пријатељима, онда сте наишли на једну од најбољих карактеристика Андроид-а - могућност да апликације цртају изнад других екрани. Колико је супер што можете да имате балон са својим омиљеним Фацебоок групним ћаскањем да пратите корисника на врху било које апликације коју отворе? Иако је Фацебоок-ов Мессенгер довео идеју о „плутајућим апликацијама“ у мејнстрим, концепт постоји већ неко време у Андроиду. Апликације су већ неко време могле да креирају прекриваче на вашим апликацијама, захваљујући постојању ТИПЕ_СИСТЕМ_ОВЕРЛАИ у Андроид ВиндовМанагер-у.

Мени за дозволу „Цртање преко других апликација“.

Пре Андроид Марсхмаллов-а, апликације би морале да траже дозволу под називом СИСТЕМ_АЛЕРТ_ВИНДОВ током инсталације пре него што је могао да прикаже преклапања на врху екрана. Али ово се променило увођењем грануларног модела дозволе за време извршавања 6.0. Корисници би сада морали да дају дозволе апликацијама када стварно покрећу апликацију, што би, надамо се, подстакло просек корисника да заштити своје приватне податке од апликација које сумњиво захтевају наизглед функционално неповезане дозволе.

Међутим, СИСТЕМ_АЛЕРТ_ВИНДОВ није као друге дозволе. Програмери не могу да прикажу дијалог да би програмски захтевали дозволу коју даје крајњи корисник, као и већина других дозвола за било коју апликацију која циља Марсхмаллов. Уместо тога, морате ручно да се крећете до екрана подешавања и сами омогућите дозволу. Наравно, неке апликације као што је Фацебоок Мессенгер ће вам помоћи у том процесу.

Гоогле то захтева од програмера јер су сматрали да је дозвола "посебно осетљива."

Посебне дозволе

Постоји неколико дозвола које се не понашају као нормалне и опасне дозволе. СИСТЕМ_АЛЕРТ_ВИНДОВ и ВРИТЕ_СЕТТИНГС су посебно осетљиви, тако да већина апликација не би требало да их користи. Ако је апликацији потребна једна од ових дозвола, она мора да наведе дозволу у манифесту и пошаље намеру са захтевом за овлашћење корисника. Систем одговара на намеру тако што кориснику приказује детаљан екран управљања.

С обзиром на оно што знамо изнад о тапјацкингу, ово има смисла. Али ево у чему је ствар. Гугл чак не поштује ни своја правила. Снимци екрана Фацебоок Мессенгер-а који вас воде кроз процес давања дозволе СИСТЕМ_АЛЕРТ_ВИНДОВ коју сам вам показао изнад? То се дешава само ако инсталирате АПК изван Гоогле Плаи продавнице. Ако инсталирате апликацију из Гоогле Плаи продавнице, Дозвола СИСТЕМ_АЛЕРТ_ВИНДОВ се аутоматски додељује.

Фајл манифеста Фацебоок Мессенгер-а. Апликацији се аутоматски додељује дозвола за преклапање упркос томе што циља АПИ ниво 23.

Гоогле је жртвовао безбедност ради погодности

Дуго времена пре Андроид Марсхмаллов-а, СИСТЕМ_АЛЕРТ_ВИНДОВ се сматрао "опасно„дозволу. Са Андроид Марсхмаллов 6.0, дозвола је промењена у сигнатуре|систем|аппоп што је у почетку захтевало од програмера да доведу корисника до екрана подешавања да би дали дозволу. Али са Андроид верзијом 6.0.1, СИСТЕМ_АЛЕРТ_ВИНДОВ је измењен тако да Гоогле Плаи продавница може аутоматски дати дозволубез обавештавања корисника. Зашто је Гоогле направио ову промену није нам јасно. Сам Гугл није изашао и навео зашто је направио ову промену, што је посебно чудно с обзиром на језик о СИСТЕМ_АЛЕРТ_ВИНДОВ који још увек постоји на њиховим веб страницама.

Могуће је да довољно програмера је наљутило иницијалним променама СИСТЕМ_АЛЕРТ_ВИНДОВ које су захтевале од корисника да ручно дају дозволу коју је Гугл тихо уклонио и само је доделио било којој апликацији која је то захтевала. Али радећи то, Гоогле има жртвовао сигурност ради удобности. Постоји разлог зашто су сами Гугл најдуже сматрали дозволу опасном, јер јесте. А постојање експлоатације преузимања дозволе Марсхмаллов довољан је доказ инхерентних опасности у аутоматском давању ове дозволе било којој апликацији.

Ова експлоатација тапјацкинга тек је недавно скренута нашој пажњи иако постоји већ много месеци. У нашем интерном тестирању уређаја међу тимом КСДА Портала, то смо и потврдили експлоатација ради на многим модерним уређајима који користе Андроид Марсхмаллов. Ево кратког прегледа уређаја које смо тестирали на најновијим доступним верзијама софтвера за сваки одговарајући уређај и да ли експлоатација тапјацкинг функционише или не. Уређаји са ознаком „Вулнерабле“ су подложни експлоатацији тапјацкинг, док уређаји са ознаком „Нот Рањиви" могу да открију апликацију која приказује преклапање и затраже да је раније онемогућите наставља.

  • Нектбит Робин - Андроид 6.0.1 са јунским безбедносним закрпама - Вулнерабле
  • Мото Кс Пуре – Андроид 6.0 са безбедносним закрпама у мају – Вулнерабле
  • Хонор 8 – Андроид 6.0.1 са јулским безбедносним закрпама – Вулнерабле
  • Моторола Г4 – Андроид 6.0.1 са безбедносним закрпама у мају – Вулнерабле
  • ОнеПлус 2 – Андроид 6.0.1 са јунским безбедносним закрпама – Није Вулнерабле
  • Самсунг Галаки Ноте 7 – Андроид 6.0.1 са јулским безбедносним закрпама – Није Вулнерабле
  • Гоогле Некус 6 – Андроид 6.0.1 са безбедносним закрпама у августу – Није Вулнерабле
  • Гоогле Некус 6П – Андроид 7.0 са безбедносним закрпама за август – Није Вулнерабле

До сада, то су сви уређаји које сам могао да натерам тим да тестира. Нисам могао да пронађем никакву корелацију између верзије безбедносне закрпе и експлоатације. Као што можете рећи из нашег најновија дискусија у вези са безбедносним ажурирањима за Андроид, многи људи ионако не користе најновије безбедносне закрпе и стога су вероватно рањиви на овај експлоат и друге који су наведени на Андроид безбедносни билтен.


Напредовати

Тапјацкинг услуга је одобрила дозволу за прекривање

Позивамо вас да сами тестирате ову експлоатацију на свом уређају да видите да ли сте рањиви. Саставили смо АПК-ове из изворни код повезан изнад (можете и сами) и отпремили сте их на АндроидФилеХост. Да бисте тестирали експлоатацију, морате да инсталирате оба главна апликација за тапјацкинг као и њен помоћна служба. Затим једноставно покрените главну апликацију и кликните на дугме "тест". Ако оквир за текст лебди на врху дијалога за дозволе и када кликнете на „дозволи“ појави се листа контаката вашег уређаја, онда је ваш уређај рањив на прислушкивање. Не брините да плутајући оквир за текст не покрива у потпуности дијалог за дозволе, ова апликација за доказ концепта није намењен да савршено демонстрира како да уредно отме дијалог дозвола, већ да докаже да је то заиста могуће.

Надамо се да је уведена исправка која закрпи овај експлоат на свим Марсхмаллов уређајима и да ОЕМ-ови ажурирају све своје уређаје на најновију безбедносну закрпу. Јер реалност је да ће бити потребно много месеци да већина заложених уређаја добије Ноугат, тако да је једини начин за већину корисници да се држе даље од опасности је да инсталирају најновије безбедносне закрпе или да узму дозволе за апликације за надгледање себе. Али са Гоогле-овом одлуком да аутоматски одобри потенцијално опасну дозволу СИСТЕМ_АЛЕРТ_ВИНДОВ, многи корисници несвесно покрећу апликације које би потенцијално могле да отму њихове телефоне како би им омогућиле све опасније дозволе.