Cloak and Dagger Android-udnyttelse: Stjæler adgangskode og logger tastetryk

Forskere ved Georgia Institute of Technology og University of California, Santa Barbara, har udgivet en rapport angive flere sårbarheder fundet med Android Lollipop, Marshmallow og Nougat operativsystemer.

Ifølge forskerne har ondsindede apps mulighed for at udnytte to tilladelser i Play Butik - 'tegn ovenpå' og 'tilgængelighedstjeneste'.

Brugere kan blive angrebet med enten en af ​​disse sårbarheder eller begge af dem. Angriberen kan clickjack, optage tastetryk, stjæle enhedens sikkerheds-PIN, indsætte adware i enheden og også dampe to-faktor-godkendelsestokens.

Læs også: 5 tips til at forhindre din Android-enhed i at blive ramt af ransomware.

"Cloak & Dagger er en ny klasse af potentielle angreb, der påvirker Android-enheder. Disse angreb gør det muligt for en ondsindet app fuldstændigt at kontrollere UI-feedbacksløjfen og overtage enheden uden at give brugeren en chance for at lægge mærke til den ondsindede aktivitet," bemærkede forskerne.

Denne sårbarhed var også blevet afsløret tidligere

Tidligere på måneden havde vi rapporteret om en lignende uløst sårbarhed i Android-operativsystemet, som ville bruge tilladelsen 'System_Alert_Window', der blev brugt til at 'tegne ovenpå'.

Tidligere skulle denne tilladelse — System_Alert_Window — gives manuelt af brugeren, men med fremkomsten af ​​apps som Facebook Messenger og andre, der bruger pop-ups på skærmen, giver Google det af Standard.

Selvom sårbarheden, hvis den udnyttes, kan føre til et fuldgyldigt ransomware- eller adware-angreb, vil det ikke være nemt for en hacker at starte.

Denne tilladelse er ansvarlig for 74 % af ransomware, 57 % af adware og 14 % af bankmands malware-angreb på Android-enheder.

Alle de apps, du downloader fra Play Butik, scannes for ondsindede koder og makroer. Så angriberen bliver nødt til at omgå Googles indbyggede sikkerhedssystem for at få adgang til app store.

Google har for nylig også opdateret sit mobile operativsystem med en ekstra sikkerhedslag der scanner gennem alle de apps, der downloades til enheden via Play Butik.

Er det sikkert at bruge Android lige nu?

Ondsindede apps, der downloades fra Play Butik, får automatisk de to førnævnte tilladelser, hvilket giver en hacker mulighed for at skade din enhed på følgende måder:

• Invisible Grid Attack: Angriberen trækker over en usynlig overlejring på enheden, så de kan logge tastetryk.
• Stjæler PIN-koden til enheden og betjener den i baggrunden, selv når skærmen er slukket.
• Injektion af adware i enheden.
• Udforske nettet og phishing snigende.

Forskerne kontaktede Google om de fundne sårbarheder og har bekræftet, at selvom virksomheden har implementeret rettelser, er de ikke idiotsikre.

Opdateringen deaktiverer overlejringer, hvilket forhindrer det usynlige gitterangreb, men Clickjacking er stadig en mulighed, da disse tilladelser kan låses op af en ondsindet app ved hjælp af telefonens oplåsningsmetode, selv når skærmen er vendt af.

Google-tastaturet har også modtaget en opdatering, som ikke forhindrer tastetrykslogning, men sikrer, at adgangskoder ikke er lækket som hver gang der indtastes værdi i et adgangskodefelt, nu logger tastaturet adgangskoder som en 'prik' i stedet for den faktiske Karakter.

Men der er også en vej rundt om dette, som kan udnyttes af angriberne.

"Da det er muligt at opregne widgets og deres hashkoder, som er designet til at være pseudo-unikke, hashkoder er nok til at bestemme, hvilket tastaturs knap, der rent faktisk blev klikket på af brugeren,« forskerne påpegede.

Læs også: 13 seje kommende Android-funktioner afsløret af Google.

Alle de sårbarheder, som forskningen har fundet ud af, er stadig tilbøjelige til et angreb, selvom den seneste version af Android modtog en sikkerhedsrettelse den 5. maj.

Forskerne sendte en app til Google Play Butik, som krævede de to førnævnte tilladelser og viste tydeligt ondsindet hensigt, men den blev godkendt og er stadig tilgængelig på Play Butik. Dette viser, at Play Butik-sikkerheden ikke rigtig fungerer så godt.

Hvad er det bedste bud på at forblive sikker?

At kontrollere og deaktivere begge disse tilladelser manuelt for enhver app, der ikke er tillid til, og som har adgang til enten den ene eller begge af dem, er det bedste bud

Sådan kan du tjekke, hvilke apps der har adgang til disse to 'særlige' tilladelser på din enhed.

• Android Nougat: "tegne ovenpå” – Indstillinger –> Apps –> ’Gearsymbol (øverst til højre) –> Speciel adgang –> Tegn over andre apps
  ‘a11y’: Indstillinger –> Tilgængelighed –> Tjenester: Tjek hvilke apps der kræver a11y.
• Android Marshmallow: “tegn ovenpå” – Indstillinger –> Apps –> “Gear symbol” (øverst til højre) –> Tegn over andre apps.
  a11y: Indstillinger → Tilgængelighed → Tjenester: Tjek hvilke apps der kræver a11y.
• Android Lollipop:"tegn ovenpå" - Indstillinger -> Apps -> klik på den enkelte app og se efter "tegn over andre apps"
  a11y: Indstillinger –> Tilgængelighed –> Tjenester: Tjek hvilke apps der kræver a11y.

Google vil levere yderligere sikkerhedsopdateringer for at løse de problemer, som forskerne har fundet.

Læs også: Her er, hvordan du fjerner ransomware fra din telefon.

Mens flere af disse sårbarheder vil blive rettet af de følgende opdateringer, er problemer omkring "draw on top"-tilladelsen der for at blive, indtil Android O frigives.

Sikkerhedsrisici på internettet vokser i massivt omfang, og i øjeblikket er den eneste måde at beskytte din enhed på at installere en pålidelig antivirussoftware og være en årvågenhed.

Sidst opdateret den 3. februar, 2022

Ovenstående artikel kan indeholde tilknyttede links, som hjælper med at understøtte Guiding Tech. Det påvirker dog ikke vores redaktionelle integritet. Indholdet forbliver upartisk og autentisk.