Ny sårbarhet för Android-appar lurar användare till inspelningsskärmar

En ny Android-sårbarhet upptäckt av MWR InfoSecurity beskriver hur appar kan lura användare att spela in sina skärmar utan deras vetskap.

Android finns på miljarder enheter världen över, och nya sårbarheter upptäcks varje dag. Nu, en exploit upptäckt av MWR InfoSecurity beskriver hur appar i Android-versioner mellan 5.0 och 7.1 kan lura användare att spela in skärminnehåll utan deras vetskap.

Det handlar om Android MediaProjection ramverk, som lanserades med 5.0 Lollipop och gav utvecklare möjligheten att fånga en enhets skärm och spela in systemljud. I alla Android-versioner före 5.0 Lollipop krävdes skärmgripande applikationer för att köras med root-privilegier eller måste signeras med speciella nycklar, men i nyare versioner av Android behöver utvecklare inte root-privilegier för att använda MediaProjection-tjänsten och behöver inte deklarera behörigheter.

Normalt begär en applikation som använder MediaProjection-ramverket tillgång till tjänsten via en avsikt, som Android presenterar för användaren som en SystemUI-popup.

MWR InfoSecurity upptäckte att en angripare kunde överlappa en normal SystemUI-popup med ett lockbete för att lura användaren att ge programmet skärminspelningsbehörigheter. Anledningen? Android-versioner nyare än 5.0 Lollipop kan inte upptäcka SystemUI-popup-fönster som är delvis skymd.

Denna sårbarhet har för närvarande bara korrigerats Android 8.0 Oreo, konstaterar rapporten, och eftersom en majoritet av Android-smarttelefoner inte kör den senaste versionen av Android är det fortfarande en allvarlig risk. Ungefär 77,5 % av aktiva Android-enheter är sårbara för attacken den 2 oktober, enligt MWR InfoSecurity.

Det finns ingen kortsiktig lösning på uppgraderingsproblemet – det är telefontillverkarna. Under tiden kan Android-utvecklare dock försvara sig mot attacken genom att aktivera FLAG_SECURE layoutparameter via deras applikations WindowManager, som säkerställer att innehållet i applikationen fönster behandlas som säkra och hindrar dem från att visas i skärmdumpar eller från att visas på osäkra visas.

På den användarvänliga sidan av saker och ting, MWR InfoSecurity tillägger att denna attack inte är helt oupptäckbar. I rapporten står det:

"När en applikation får tillgång till MediaProjection Service, genererar den en virtuell skärm som aktiverar screencast-ikonen i meddelandefältet. Om användare ser en screencast-ikon i sina enheters meddelandefält bör de undersöka applikationen/processen som för närvarande körs på deras enheter."

Historiens sensmoral? Var försiktig med vilka appar du laddar ner.


Källa: MWR InfoSecurity