Cloak and Dagger Android Exploit: Krade hesla a zaznamenává stisknuté klávesy

Vědci z Georgia Institute of Technology a University of California, Santa Barbara, ano vydala zprávu uvádí několik zranitelností nalezených v operačních systémech Android Lollipop, Marshmallow a Nougat.

Podle výzkumníků mají škodlivé aplikace schopnost využívat dvě oprávnění v Obchodě Play – „kreslení navrch“ a „službu usnadnění“.

Uživatelé mohou být napadeni pomocí jedné z těchto zranitelností nebo obou. Útočník může clickjack, nahrávat stisky kláves, krást bezpečnostní PIN zařízení, vkládat do zařízení adware a také párovat dvoufaktorové autentizační tokeny.

Přečtěte si také: 5 tipů, jak zabránit tomu, aby vaše zařízení Android zasáhl ransomware.

„Cloak & Dagger je nová třída potenciálních útoků ovlivňujících zařízení Android. Tyto útoky umožňují škodlivé aplikaci zcela ovládat smyčku zpětné vazby uživatelského rozhraní a převzít kontrolu nad zařízením, aniž by uživatel měl možnost zaznamenat škodlivou aktivitu,“ poznamenali vědci.

Tato chyba zabezpečení byla odhalena již dříve

Začátkem tohoto měsíce jsme měli

informoval o podobné neopravené zranitelnosti v operačním systému Android, který by používal oprávnění ‚System_Alert_Window‘ používané k ‚kreslení navrch‘.

Dříve muselo být toto oprávnění — System_Alert_Window — uděleno ručně uživatelem, ale s příchod aplikací, jako je Facebook Messenger a další, které používají vyskakovací okna na obrazovce, společnost Google umožňuje výchozí.

Ačkoli zranitelnost, pokud je zneužita, může vést k plnohodnotnému útoku ransomwaru nebo adwaru, pro hackera nebude snadné ji zahájit.

Toto povolení je zodpovědné za 74 %. ransomware, 57 % adwarových a 14 % bankovních malwarových útoků na zařízení Android.

Všechny aplikace, které si stáhnete z Obchodu Play, jsou kontrolovány na škodlivé kódy a makra. Útočník tedy bude muset obejít Vestavěný bezpečnostní systém Google pro vstup do obchodu s aplikacemi.

Google nedávno také aktualizoval svůj mobilní operační systém pomocí další vrstva zabezpečení který prohledá všechny aplikace, které se stahují do zařízení prostřednictvím Obchodu Play.

Je teď používání Androidu bezpečné?

Škodlivé aplikace, které jsou staženy z Obchodu Play, získávají dvě výše uvedená oprávnění automaticky, což útočníkovi umožňuje poškodit vaše zařízení následujícími způsoby:

• Útok na neviditelnou mřížku: Útočník překreslí na zařízení neviditelnou vrstvu, což mu umožní zaznamenat stisknuté klávesy.
• Odcizení PIN zařízení a jeho ovládání na pozadí, i když je obrazovka vypnutá.
• Vkládání adwaru do zařízení.
• Tajně prozkoumávejte web a phishing.

Výzkumníci kontaktovali Google ohledně nalezených zranitelností a potvrdili, že ačkoli společnost implementovala opravy, nejsou spolehlivé.

Aktualizace deaktivuje překryvy, což zabraňuje neviditelnému útoku na mřížku, ale Clickjacking je stále možností tato oprávnění mohou být odemčena škodlivou aplikací pomocí metody odemykání telefonu, i když je obrazovka otočena vypnuto.

Klávesnice Google také obdržela aktualizaci, která nebrání protokolování úhozů, ale zajišťuje, že hesla nejsou unikly při každém zadávání hodnoty do pole hesla, nyní klávesnice zaznamenává hesla jako „tečku“ namísto skutečných charakter.

Existuje však způsob, jak toto obejít, kterého mohou útočníci zneužít.

„Protože je možné vyjmenovat widgety a jejich hashkódy, které jsou navrženy tak, aby byly pseudojedinečné, hashcodes stačí k určení, na které tlačítko klávesnice uživatel skutečně klikl,“ vědci vypíchnut.

Přečtěte si také: 13 skvělých nadcházejících funkcí Android odhalených společností Google.

Všechny zranitelnosti, které výzkum zjistil, jsou stále náchylné k útoku, i když nejnovější verze Androidu obdržela bezpečnostní záplatu 5.

Výzkumníci zaslali aplikaci do obchodu Google Play, která vyžadovala dvě výše uvedené oprávnění a jasně vykazovala nekalý úmysl, ale byla schválena a je stále k dispozici ve službě Play Obchod. To ukazuje, že zabezpečení Obchodu Play ve skutečnosti nefunguje tak dobře.

Jaká je nejlepší sázka, abyste zůstali v bezpečí?

Nejlepším řešením je ruční kontrola a zakázání obou těchto oprávnění u jakékoli nedůvěryhodné aplikace, která má přístup k jednomu nebo oběma z nich.

Takto můžete zkontrolovat, které aplikace mají na vašem zařízení přístup k těmto dvěma „speciálním“ oprávněním.

• Android Nougat: “kreslení nahoře“ – Nastavení –> Aplikace –> „Symbol ozubeného kola (vpravo nahoře) –> Speciální přístup –> Kreslení přes jiné aplikace
  „a11y“: Nastavení –> Usnadnění –> Služby: zkontrolujte, které aplikace vyžadují a11y.
• Android Marshmallow: „kreslit nahoře“ – Nastavení –> Aplikace –> „Symbol ozubeného kola“ (vpravo nahoře) –> Kreslit přes jiné aplikace.
  a11y: Nastavení → Usnadnění → Služby: zkontrolujte, které aplikace vyžadují a11y.
• Android Lollipop:„kreslit nahoře“ – Nastavení –> Aplikace –> klikněte na jednotlivou aplikaci a vyhledejte „kreslit přes jiné aplikace“
  a11y: Nastavení –> Usnadnění –> Služby: zkontrolujte, které aplikace vyžadují a11y.

Google bude poskytovat další bezpečnostní aktualizace, aby vyřešil problémy, které výzkumníci zjistili.

Přečtěte si také: Zde je návod, jak odstranit ransomware z vašeho telefonu.

I když několik z těchto chyb zabezpečení bude opraveno následujícími aktualizacemi, problémy týkající se povolení „kreslit navrch“ zůstanou, dokud nebude Android O vydán.

Bezpečnostní rizika na internetu rostou v masivním měřítku a v současné době je jediným způsobem, jak chránit své zařízení, nainstalovat důvěryhodný antivirový software a být ostražitý.

Poslední aktualizace 3. února 2022

Výše uvedený článek může obsahovat přidružené odkazy, které pomáhají podporovat Guiding Tech. Nemá to však vliv na naši redakční integritu. Obsah zůstává nezaujatý a autentický.