XDA olarak bir zamanlar güvenlik açığı kavramının kanıtı olarak öngördüğümüz şey, artık Atlanta'daki Georgia Teknoloji Enstitüsü'ndeki bilgisayar bilimcileri tarafından doğrulandı. Ekip ne dediklerini ayrıntılarıyla anlatıyor "pelerin ve Hançer" Android'in çoğu sürümünün (7.1.2 dahil) kullanıcı arayüzünü ele geçirebilecek istismarlar. Doğası gereği düzeltilmesi zordur ve tespit edilmesi de zordur.
Cloak and Dagger, kullanıcıya kötü amaçlı etkinliği fark etme şansı vermeden kullanıcı arayüzünü kontrol altına almak için iki izinden yararlanan bir istismardır. Saldırı iki izin kullanıyor: SYSTEM_ALERT_WINDOW ("üstüne çiz") Ve BIND_ACCESSIBILITY_SERVICE ("a11y") Android uygulamalarında çok yaygın olarak kullanılır.
Sahibiz bunu geçmişte özetlemiştikancak bu güvenlik açığını bu kadar ciddi kılan şey, SYSTEM_ALERT_WINDOW talebinde bulunan uygulamalara Google Play Store aracılığıyla yüklendiğinde bu iznin otomatik olarak verilmesidir. Erişilebilirlik Hizmetinin etkinleştirilmesine gelince, kötü amaçlı bir uygulama, bir kullanıcıya sosyal mühendislik yoluyla bu hizmeti vermesini oldukça kolay bir şekilde sağlayabilir. Kötü amaçlı uygulama, belirli ayarları değiştirmek için belirli uygulamaların açık olduğunu izlemek gibi yarı meşru bir amaç için Erişilebilirlik Hizmetini kullanacak şekilde bile ayarlanabilir.
Bu iki izin verildikten sonra meydana gelebilecek saldırıların sayısı çoktur. PIN'lerin, iki faktörlü kimlik doğrulama belirteçlerinin, şifrelerin çalınması ve hatta hizmet reddi saldırılarının tümü mümkündür. Bu, kullanıcıyı bir etkileşimde bulunduğunu düşünmesi için kandıran katmanların birleşimi sayesindedir. meşru uygulama ve Erişilebilirlik Hizmeti, metin ve dokunma girişini engellemek (veya kendi girişini iletmek) için kullanılıyor giriş).
Birkaç ay önce böyle bir güvenlik açığını teorileştirmiştik; burada SYSTEM_ALERT_WINDOW kullanan bir kavram kanıtlama uygulaması oluşturacaktık ve BIND_ACCESSIBILITY_SERVICE, XDA Labs uygulamasında şifre giriş ekranı üzerine bir katman çizmek ve kaydırmak için anahtar girişini engellemek için şifreler. Tasarladığımız bu uygulama, ekranda görünmez bir kutu çizmek amacıyla bir katman kullanan bir otomatik döndürme yönetim uygulaması olacaktır. rotasyonu kontrol etme (bayrakları yükseltecek WRITE_SETTINGS isteği yerine) ve kullanıcının uygulama başına profilleri otomatik olarak döndürmeyi kontrol etmesine olanak tanıyan bir Erişilebilirlik hizmeti temel. Teorik olarak bu, "pelerin ve hançer" kullanan bir uygulamanın bir örneği olabilir. Ancak ekibimizden hiçbiri riske girmeye istekli değildi. geliştirici hesapları, Google'ın otomatik uygulama tarama sistemlerini test ederek kavram kanıtı istismarımıza Play'de izin verilip verilmeyeceğini görmek için Mağaza.
Her durumda, bu araştırmacılar bu iki iznin kullanımının gerçekten büyük bir güvenlik sorunu olabileceğini kanıtlamak için gerekli çalışmayı yaptılar ve test uygulamaları sundular:
Gördüğünüz gibi saldırılar kullanıcılar tarafından görülmüyor ve cihaz üzerinde tam kontrol sağlıyor. Şu anda Android 5.1.1'den Android 7.1.2'ye kadar tüm Android sürümleri bu saldırıya karşı savunmasızdır tamamen meşru amaçlarla kullanılan iki izinden faydalandığı göz önüne alındığında, istismar amaçlar.
Bu soruna yönelik gerçek bir düzeltmenin yakın zamanda cihazınıza gelmesini beklemeyin; ancak şunu da belirtmek gerekir ki, SYSTEM_ALERT_WINDOW'da yapılan değişiklikler Android O'da, kötü amaçlı uygulamaların ekranın tamamına yayılmasına izin verilmeyerek bu kusur kısmen giderilecektir. Ayrıca, Android O artık bir uygulamanın aktif olarak bir kaplama çizmesi durumunda bildirim yoluyla uyarı veriyor. Bu iki değişiklikle, kötü amaçlı bir uygulamanın bu istismardan kurtulması daha az olasıdır eğer kullanıcı dikkatlidir.
Android O'dan önceki sürümlerde kendinizi nasıl koruyorsunuz? Her zaman olduğu gibi, yalnızca güvendiğiniz kaynaklardan gelen, güvendiğiniz uygulamaları yükleyin. İstedikleri izinlerin beklediğinizle uyumlu olduğundan emin olun.
Bir Google sözcüsüne göre yüz milyonlarca düzenli kullanıcıya gelince Play Store'u Koruyun ayrıca pelerin ve hançer saldırılarını önlemek için gerekli düzeltmeleri de sağlayacaktır. Bunu tam olarak nasıl başaracağı belli değil, ancak umarım bu iki iznin kötü niyetli olarak kullanıldığını tespit etmenin bir yolunu içerir. Ancak bu tür durumların tamamını tespit edebileceğinden şüpheliyim, bu nedenle her durumda yüklediğiniz her uygulamaya hangi izinlerin verildiğini takip etmeniz sizin için en iyisidir.