Cloak and Dagger Android Exploit: Stiehlt Passwörter und protokolliert Tastenanschläge

Forscher des Georgia Institute of Technology und der University of California, Santa Barbara, haben einen Bericht veröffentlicht mehrere Schwachstellen bei den Betriebssystemen Android Lollipop, Marshmallow und Nougat festgestellt.

Laut den Forschern haben bösartige Apps die Möglichkeit, zwei Berechtigungen im Play Store auszunutzen – den „Draw on top“ und den „Accessibility Service“.

Benutzer können mit einer dieser Sicherheitsanfälligkeiten oder mit beiden angegriffen werden. Der Angreifer kann Clickjacken, Tastenanschläge aufzeichnen, die Sicherheits-PIN des Geräts stehlen, Adware in das Gerät einschleusen und auch Zwei-Faktor-Authentifizierungstokens stehlen.

„Cloak & Dagger ist eine neue Klasse potenzieller Angriffe auf Android-Geräte. Diese Angriffe ermöglichen es einer bösartigen App, die Feedbackschleife der Benutzeroberfläche vollständig zu kontrollieren und das Gerät zu übernehmen, ohne dem Benutzer die Möglichkeit zu geben, die böswillige Aktivität zu bemerken“, stellten die Forscher fest.

Diese Schwachstelle wurde auch schon früher aufgedeckt

Anfang dieses Monats hatten wir über eine ähnliche nicht behobene Schwachstelle berichtet im Android-Betriebssystem, das die Berechtigung "System_Alert_Window" verwenden würde, um "oben zu zeichnen".

Früher musste diese Berechtigung — System_Alert_Window — vom Benutzer manuell erteilt werden, jedoch mit dem Aufkommen von Apps wie Facebook Messenger und anderen, die Pop-ups auf dem Bildschirm verwenden, gewährt Google dies durch Ursprünglich.

Obwohl die Schwachstelle, wenn sie ausgenutzt wird, zu einem vollwertigen Ransomware- oder Adware-Angriff führen kann, wird es für einen Hacker nicht einfach sein, ihn zu initiieren.

Diese Berechtigung ist für 74 % der Ransomware, 57 % der Adware- und 14 % der Banker-Malware-Angriffe auf Android-Geräte.

Alle Apps, die Sie aus dem Play Store herunterladen, werden auf bösartige Codes und Makros gescannt. Der Angreifer muss also umgehen Das integrierte Sicherheitssystem von Google um in den App Store einzusteigen.

Google hat kürzlich auch sein mobiles Betriebssystem mit einem zusätzliche Sicherheitsebene das alle Apps durchsucht, die über den Play Store auf das Gerät heruntergeladen werden.

Ist Android jetzt sicher?

Schädliche Apps, die aus dem Play Store heruntergeladen werden, erhalten automatisch die beiden oben genannten Berechtigungen, wodurch ein Angreifer Ihrem Gerät auf folgende Weise Schaden zufügen kann:

• Invisible Grid Attack: Der Angreifer zeichnet über ein unsichtbares Overlay auf das Gerät und ermöglicht es ihm, Tastenanschläge zu protokollieren.
• Diebstahl der PIN des Geräts und Bedienung im Hintergrund, auch wenn der Bildschirm ausgeschaltet ist.
• Injizieren von Adware in das Gerät.
• Das Internet erkunden und heimlich Phishing.

Die Forscher kontaktierten Google wegen der gefundenen Sicherheitslücken und bestätigten, dass das Unternehmen zwar Korrekturen implementiert hat, diese jedoch nicht narrensicher sind.

Das Update deaktiviert Overlays, was den unsichtbaren Grid-Angriff verhindert, aber Clickjacking ist weiterhin möglich, da Diese Berechtigungen können von einer bösartigen App mit der Entsperrmethode des Telefons entsperrt werden, selbst wenn der Bildschirm gedreht wird aus.

Die Google-Tastatur hat auch ein Update erhalten, das die Protokollierung von Tastenanschlägen nicht verhindert, aber dafür sorgt, dass Passwörter nicht durchgesickert wie immer bei der Eingabe von Werten in ein Passwortfeld, jetzt protokolliert die Tastatur Passwörter als "Punkt" anstelle des tatsächlichen Charakter.

Aber auch hier gibt es einen Ausweg, der von den Angreifern ausgenutzt werden kann.

„Da es möglich ist, die Widgets und ihre Hashcodes aufzuzählen, die pseudo-eindeutig sind, ist die Hashcodes reichen aus, um festzustellen, auf welche Tastaturtaste der Benutzer tatsächlich geklickt hat“, so die Forscher wies darauf hin.

Alle Schwachstellen, die die Forschung herausgefunden hat, sind immer noch anfällig für Angriffe, obwohl die neueste Version von Android am 5. Mai einen Sicherheitspatch erhalten hat.

Die Forscher reichten eine App beim Google Play Store ein, für die die beiden oben genannten erforderlich waren Berechtigungen und zeigte eindeutig böswillige Absichten, wurde jedoch genehmigt und ist weiterhin im Play verfügbar Geschäft. Dies zeigt, dass die Play Store-Sicherheit nicht wirklich gut funktioniert.

Was ist die beste Wahl, um sicher zu bleiben?

Das manuelle Überprüfen und Deaktivieren dieser beiden Berechtigungen für jede nicht vertrauenswürdige App, die Zugriff auf eine oder beide hat, ist die beste Wahl

So können Sie überprüfen, welche Apps Zugriff auf diese beiden „besonderen“ Berechtigungen auf Ihrem Gerät haben.

• Android-Nougat: „oben zeichnen“ – Einstellungen –> Apps –> ‚Zahnradsymbol (oben rechts) –> Sonderzugriff –> Über andere Apps zeichnen
  ‘a11y’: Einstellungen –> Barrierefreiheit –> Dienste: Überprüfen Sie, welche Apps a11y benötigen.
• Android-Marshmallow: „oben zeichnen“ – Einstellungen –> Apps –> „Zahnradsymbol“ (oben rechts) –> Über andere Apps zeichnen.
  a11y: Einstellungen → Eingabehilfen → Dienste: Überprüfen Sie, welche Apps a11y benötigen.
• Android-Lutscher:„oben zeichnen“ – Einstellungen –> Apps –> auf einzelne App klicken und nach „Über andere Apps zeichnen“ suchen
  a11y: Einstellungen –> Barrierefreiheit –> Dienste: Überprüfen Sie, welche Apps a11y benötigen.

Google wird weitere Sicherheitsupdates bereitstellen, um die von den Forschern gefundenen Probleme zu beheben.

Während einige dieser Sicherheitslücken durch die folgenden Updates behoben werden, bleiben Probleme im Zusammenhang mit der Berechtigung zum Zeichnen oben bestehen, bis Android O veröffentlicht wird.

Die Sicherheitsrisiken im Internet nehmen massiv zu und derzeit besteht die einzige Möglichkeit, Ihr Gerät zu schützen, darin, eine vertrauenswürdige Antivirensoftware zu installieren und wachsam zu sein.