นักวิจัยได้สาธิตการโจมตีโดยใช้ Toast Message ซึ่งสามารถสร้างสังคมให้ผู้ใช้ให้สิทธิ์ที่เป็นอันตรายบน Android ได้
Android เป็นแพลตฟอร์มที่เปิดกว้างและมีชุมชนนักพัฒนาที่ยอดเยี่ยม นักพัฒนาเหล่านี้จำนวนมากจะสร้างแอพ ROM แบบกำหนดเอง และอื่นๆ อีกมากมาย บางองค์กรยังมีส่วนร่วมในการทดสอบความปลอดภัย เช่น Palo Alto Networks Unit 42 กลุ่มนี้ได้ค้นพบช่องโหว่ภายในระบบ Android Toast Message ซึ่งทำให้สามารถ ผู้โจมตีเพื่อสร้างการซ้อนทับหลอกเพื่อหลอกให้ผู้ใช้ให้สิทธิ์ที่เป็นอันตรายโดยปราศจากพวกเขา ความรู้. นี่คือ ได้รับการแก้ไขแล้วใน อัปเดตความปลอดภัยเดือนกันยายน และในระบบปฏิบัติการ Android Oreoดังนั้นมั่นใจได้ว่าหากโทรศัพท์ของคุณยังคงได้รับแพตช์ความปลอดภัยรายเดือน หรือคุณมีอุปกรณ์ที่ใช้ Android Oreo คุณจะไม่เสี่ยงต่อการโจมตีนี้
อุปกรณ์ Android อื่นๆ ทั้งหมดสามารถใช้งานได้ เพื่อการโจมตีครั้งนี้ วิธีการทำงานคือใช้ประโยชน์จากการแจ้งเตือนแบบโทสต์ภายใน Android เพื่อหลีกเลี่ยงข้อกำหนดสำหรับ "วาดด้านบน" เช่น การอนุญาตซ้อนทับซึ่งเป็นวิธีการ "เสื้อคลุมและกริช"การหาประโยชน์ได้ผล นักวิจัยใช้ช่องโหว่นี้เพื่อออกแบบวิศวกรรมสังคมให้กับผู้ใช้เพื่อให้บริการการเข้าถึงแก่แอปพลิเคชันโจมตี ทำให้พวกเขาสามารถอ่านเนื้อหาบนหน้าจอทั้งหมด อินพุตคีย์ ฯลฯ บนอุปกรณ์ จากนั้นพวกเขาใช้วิธีการเดียวกันเพื่อดึงดูดผู้ใช้แอปพลิเคชันให้ให้สิทธิ์การเข้าถึงของผู้ดูแลระบบ โดยที่ไม่รับรู้ถึงการเข้าถึงที่พวกเขาเพิ่งอนุญาตเลย ซึ่งช่วยให้ผู้โจมตีสามารถติดตั้งแอป ตรวจสอบอุปกรณ์ และยังเปิดรับศักยภาพของแรนซัมแวร์อีกด้วย
อธิบายการโจมตีการซ้อนทับข้อความ Android Toast แล้ว
แต่มันใช้งานจริงได้อย่างไร? ที่ นักพัฒนาที่อยู่เบื้องหลังการพิสูจน์แนวคิด แบ่งปันซอร์สโค้ดจริงของการโจมตีซึ่งมีคำอธิบายทางเทคนิคเพิ่มเติมเบื้องหลังช่องโหว่ แต่เราจะอธิบายสั้น ๆ ว่าทำไมและเหตุใดการหาประโยชน์นี้จึงทำงาน
ขั้นแรก คุณต้องพิจารณาว่าข้อความอวยพรคืออะไร พวกมันใช้งานบน Android มาหลายปีแล้ว และคุณอาจเห็นพวกมันมากมายบนอุปกรณ์ของคุณทุกวัน ข้อความโทสต์คือข้อความเล็กๆ ที่ด้านล่างของหน้าจอที่มักจะปรากฏในฟองสีเทาพร้อมข้อมูลชิ้นหนึ่ง
การใช้ประโยชน์จะใช้ข้อความโทสต์เพื่อสร้างการซ้อนทับบนหน้าจอโดยไม่ต้องร้องขอหรือจำเป็นต้องใช้ SYSTEM_ALERT_WINDOW การอนุญาตซึ่งควรจะเป็นข้อกำหนดสำหรับแอปพลิเคชันใดๆ ที่จะวาดบนหน้าจอของคุณ แต่จะผลักดันการซ้อนทับผ่านการแจ้งเตือนแบบขนมปังปิ้ง โดยสร้างปุ่มที่ดูเหมือนว่ามีไว้สำหรับการให้ที่ไม่เป็นพิษเป็นภัยอย่างถูกกฎหมาย การอนุญาตหรือการยอมรับพรอมต์ที่ไม่มีความหมาย แต่จริงๆ แล้วมีไว้สำหรับให้สิทธิ์ผู้ดูแลระบบอุปกรณ์หรือการเข้าถึงการเข้าถึง แอปพลิเคชัน. มันสร้างสองมุมมองภายในการซ้อนทับขนมปังปิ้ง
ทั้งหมดนี้สามารถทำได้เนื่องจากการตรวจสอบสิทธิ์ไม่สำเร็จ ระบบ Android (การอัปเดตความปลอดภัยก่อน Oreo และก่อนเดือนกันยายน) ไม่ได้ตรวจสอบสิ่งที่ป้อนผ่านระบบ Android Toast Overlay จริง ๆ แล้วให้อนุญาตโดยไม่ตรวจสอบแทน อาจเป็นเพราะ Google ไม่ได้คาดการณ์ถึงความเป็นไปได้ในการป้อนมุมมองผ่านการซ้อนทับแบบโทสต์
ความพยายามของ Android 7.1 ในการแก้ไขการโจมตี Android Toast Overlay
ใน Android 7.1 ดูเหมือนว่า Google พยายามบล็อกการหาประโยชน์นี้ มีการหมดเวลาที่แนะนำสำหรับข้อความโทสต์และสร้างข้อจำกัด: เพียง 1 ข้อความโทสต์ต่อ UID ซึ่งเป็นรหัสกระบวนการของแอป สิ่งนี้สามารถข้ามไปได้อย่างง่ายดายด้วยการวนซ้ำซ้ำแล้วซ้ำอีกและแสดงการซ้อนทับแบบโทสต์มากขึ้นแทน ดังนั้นจึงให้ภาพลวงตาแก่ผู้ใช้ว่าเป็น UI ที่สอดคล้องกัน หากไม่ได้สร้างลูป หลังจากผ่านไป 3.5 วินาที โอเวอร์เลย์จะหายไปและผู้ใช้จะเห็นสิ่งที่แอปขอให้ผู้ใช้ทำจริงๆ - ให้สิทธิ์ผู้ดูแลระบบอุปกรณ์หรือสิทธิ์ในการเข้าถึง
ผลที่ตามมาของการโจมตีที่ประสบความสำเร็จ
ผู้ดูแลระบบอุปกรณ์หรือสิทธิ์ในการเข้าถึงเมื่อมอบให้กับแอปพลิเคชัน จะสามารถนำไปใช้ประโยชน์ได้อย่างง่ายดายสำหรับการโจมตีที่เป็นอันตรายหลายประเภท แรนซัมแวร์ คีย์ล็อกเกอร์ และที่ปัดน้ำฝนของอุปกรณ์สามารถสร้างขึ้นได้โดยใช้ช่องโหว่นี้
แอปพลิเคชันไม่จำเป็นต้องมีการอนุญาตใด ๆ เพื่อแสดงข้อความขนมปังปิ้ง แม้ว่าเห็นได้ชัดว่าแอปพลิเคชันที่เป็นอันตรายยังคงอยู่ก็ตาม ต้องการ BIND_ACCESSIBILITY_SERVICE เช่นเดียวกับ BIND_DEVICE_ADMIN เพื่อใช้งานอย่างมีประสิทธิภาพจากการวางซ้อนขนมปังปิ้งนี้ จู่โจม. ดังนั้น แนวป้องกันที่ดีที่สุดของคุณต่อการโจมตีประเภทนี้ หากอุปกรณ์ของคุณยังไม่ได้รับการแพตช์คือการตรวจสอบการอนุญาตที่แอปพลิเคชันกำหนดไว้ใน AndroidManifest เมื่อทำการติดตั้ง หากคุณติดตั้งแอพและไม่แน่ใจว่าเหตุใดแอพนั้นจึงต้องการบริการการเข้าถึงหรือสิทธิ์ผู้ดูแลระบบอุปกรณ์ ให้ถอนการติดตั้งทันทีและติดต่อผู้พัฒนา
เป็นที่น่ากังวลว่าส่วนง่ายๆ ของ Android ซึ่งเป็นข้อความอวยพรที่ต่ำต้อยสามารถนำไปใช้เพื่อออกแบบสังคมให้ผู้ใช้ให้สิทธิ์ที่เป็นอันตรายได้ เราหวังว่าผู้ผลิตจะออกแพตช์รักษาความปลอดภัยประจำเดือนกันยายนโดยเร็วที่สุดเท่าที่ทำได้บนอุปกรณ์ต่างๆ เพื่อปกป้องผู้คนนับล้านที่อาจตกเป็นเหยื่อการโจมตีดังกล่าวได้อย่างง่ายดาย