Cloak and Dagger Android Exploit: краде парола и записва натискания на клавиши
Miscellanea / / December 02, 2021
Изследователи от Технологичния институт на Джорджия и Калифорнийския университет в Санта Барбара са направили пуснаха доклад посочва няколко уязвимости, открити в операционните системи Android Lollipop, Marshmallow и Nougat.
![Pexels Снимка 404280](/f/348898068ccd1985012457b788539d3a.jpeg)
Според изследователите злонамерените приложения имат способността да използват две разрешения в Play Store – „рисуване отгоре“ и „услуга за достъпност“.
Потребителите могат да бъдат атакувани с помощта на една от тези уязвимости или и двете. Нападателят може да кликне, да записва натискания на клавиши, да открадне ПИН за сигурност на устройството, да вмъкне рекламен софтуер в устройството и също така да използва двуфакторни токени за удостоверяване.
„Cloak & Dagger е нов клас потенциални атаки, засягащи устройства с Android. Тези атаки позволяват на злонамерено приложение да контролира напълно веригата за обратна връзка на потребителския интерфейс и да поеме устройството, без да дават на потребителя шанс да забележи злонамерената дейност“, отбелязват изследователите.
Тази уязвимост беше разкрита и по-рано
По-рано този месец имахме съобщи за подобна неотстранена уязвимост в операционната система Android, която ще използва разрешението „System_Alert_Window“, използвано за „рисуване отгоре“.
![Кибер защита](/f/1b2c9b8c98c1d8081124734dab701208.png)
По-рано това разрешение — System_Alert_Window — трябваше да бъде предоставено ръчно от потребителя, но с появата на приложения като Facebook Messenger и други, които използват изскачащи прозорци на екрана, Google го предоставя чрез по подразбиране.
Въпреки че уязвимостта, ако бъде използвана, може да доведе до пълноценна ransomware или рекламна атака, няма да е лесно за хакер да започне.
Това разрешение е отговорно за 74% от ransomware, 57% от рекламния софтуер и 14% от банкерските злонамерени атаки на устройства с Android.
Всички приложения, които изтегляте от Play Store, се сканират за злонамерени кодове и макроси. Така че нападателят ще трябва да заобиколи Вградената система за сигурност на Google за да влезете в магазина за приложения.
Google наскоро също актуализира своята мобилна операционна система с допълнителен слой сигурност който сканира всички приложения, които се изтеглят на устройството чрез Play Store.
Безопасно ли е използването на Android в момента?
Злонамерените приложения, които се изтеглят от Play Store, получават двете гореспоменати разрешения автоматично, което позволява на нападателя да навреди на вашето устройство по следните начини:
- Атака с невидима мрежа: Нападателят рисува върху невидимо наслагване върху устройството, което им позволява да регистрират натискания на клавиши.
- Кражба на ПИН на устройството и работа с него във фонов режим, дори когато екранът е изключен.
- Инжектиране на рекламен софтуер в устройството.
- Изследване на мрежата и фишинг тайно.
Изследователите се свързаха с Google относно откритите уязвимости и потвърдиха, че въпреки че компанията е въвела корекции, те не са сигурни.
![Android атака](/f/c0895c7fb0d6816f3cd607793096b5df.png)
Актуализацията деактивира наслагванията, което предотвратява атаката на невидимата мрежа, но Clickjacking все още е възможност, тъй като тези разрешения могат да бъдат отключени от злонамерено приложение, използвайки метода за отключване на телефона, дори когато екранът е обърнат изключен.
Клавиатурата на Google също получи актуализация, която не предотвратява записването на натискане на клавиши, но гарантира, че паролите не са изтече, както при всяко въвеждане на стойност в поле за парола, сега клавиатурата регистрира паролите като „точка“ вместо действителната характер.
Но има и начин да заобиколите това, който може да бъде използван от нападателите.
„Тъй като е възможно да се изброят джаджи и техните хешкодове, които са проектирани да бъдат псевдоуникални, хешкодовете са достатъчни, за да се определи кой бутон на клавиатурата всъщност е щракнат от потребителя“, изследователите посочен.
Всички уязвимости, които изследването установи, все още са склонни към атака, въпреки че най-новата версия на Android получи корекция за сигурност на 5 май.
Изследователите изпратиха приложение в Google Play Store, което изисква двете по-горе разрешения и ясно показа злонамерено намерение, но беше одобрено и все още е достъпно в Play Магазин. Това показва, че сигурността на Play Store всъщност не функционира толкова добре.
Кой е най-добрият залог, за да останете в безопасност?
Проверката и деактивирането на двете разрешения ръчно за всяко ненадеждно приложение, което има достъп до едното или и двете от тях, е най-добрият залог
Ето как можете да проверите кои приложения имат достъп до тези две „специални“ разрешения на вашето устройство.
-
Android Nougat: “рисувайте отгоре” – Настройки –> Приложения –> „Символ на зъбно колело (горе вдясно) –> Специален достъп –> Рисуване върху други приложения
„a11y“: Настройки –> Достъпност –> Услуги: проверете кои приложения изискват a11y. -
Android Marshmallow: „начертайте отгоре“ – Настройки –> Приложения –> „Символ на зъбно колело“ (горе вдясно) –> Начертайте върху други приложения.
a11y: Настройки → Достъпност → Услуги: проверете кои приложения изискват a11y. -
Android Lollipop:„начертайте отгоре“ – Настройки –> Приложения –> щракнете върху отделно приложение и потърсете „начертайте над други приложения“
a11y: Настройки –> Достъпност –> Услуги: проверете кои приложения изискват a11y.
Google ще предоставя допълнителни актуализации за сигурност, за да разреши проблемите, открити от изследователите.
Въпреки че някои от тези уязвимости ще бъдат отстранени от следните актуализации, проблемите, свързани с разрешението за „рисуване отгоре“ остават до излизането на Android O.
Рисковете за сигурността в интернет нарастват в огромен мащаб и в момента единственият начин да защитите устройството си е да инсталирате доверен антивирусен софтуер и да бъдете бдителен.