Нова вразливість Android, виявлена MWR InfoSecurity, деталізує, як програми можуть обманом змусити користувачів записувати їхні екрани без їх відома.
Android встановлено на мільярдах пристроїв у всьому світі, і щодня виявляються нові вразливості. Тепер експлойт виявив MWR InfoSecurity детально описує, як програми в версіях Android від 5.0 до 7.1 можуть обманом змусити користувачів записувати вміст екрана без їх відома.
Це стосується Android MediaProjection Framework, який був запущений разом із 5.0 Lollipop і дав розробникам можливість знімати екран пристрою та записувати аудіо системи. У всіх версіях Android до 5.0 Lollipop програми для захоплення екрана повинні були запускатися з правами root або мати спеціальний підпис. ключі, але в новіших версіях Android розробникам не потрібні права root для використання служби MediaProjection і не потрібно декларувати дозволи.
Зазвичай програма, яка використовує інфраструктуру MediaProjection, запитує доступ до служби через намір, який Android представляє користувачеві як спливаюче вікно SystemUI.
MWR InfoSecurity виявив, що зловмисник може накласти на звичайне спливаюче вікно SystemUI приманку, щоб обманом змусити користувача надати програмі дозвіл на запис екрана. Причина? Версії Android, новіші за 5.0 Lollipop, не можуть виявити спливаючі вікна SystemUI, які частково закриті.Цю вразливість наразі лише виправлено Android 8.0 Oreo, йдеться у звіті, і оскільки більшість смартфонів Android не працюють під керуванням останньої версії Android, це залишається серйозним ризиком. Станом на 2 жовтня приблизно 77,5% активних пристроїв Android уразливі до атаки. MWR InfoSecurity.
Немає короткострокового вирішення проблеми з оновленням – це справа виробників телефонів. Тим часом розробники Android можуть захиститися від атаки, увімкнувши FLAG_SECURE параметр макета через WindowManager програми, який гарантує, що вміст програми вікна розглядаються як безпечні та запобігають їх появі на знімках екрана або перегляду на незахищених дисплеї.
Що стосується користувача, MWR InfoSecurity додає, що ця атака не є повністю непомітною. У звіті зазначено:
«Коли програма отримує доступ до служби MediaProjection Service, вона генерує віртуальний дисплей, який активує піктограму скрінкасту на панелі сповіщень. Якщо користувачі бачать піктограму скрінкасту на панелі сповіщень своїх пристроїв, їм слід дослідити програму/процес, які зараз запущені на їхніх пристроях».
Мораль історії? Будьте обережні, які програми ви завантажуєте.
Джерело: MWR InfoSecurity