Varju ja pistoda Android Exploit: varastab parooli ja logib klahvivajutused

Georgia Tehnoloogiainstituudi ja Santa Barbara California ülikooli teadlased on seda teinud avaldas raporti märkides mitmeid turvaauke, mis leiti operatsioonisüsteemides Android Lollipop, Marshmallow ja Nougat.

Teadlaste sõnul on pahatahtlikel rakendustel võimalus kasutada Play poes kahte õigust - "üles joonistamine" ja "juurdepääsetavuse teenus".

Kasutajaid võidakse rünnata kasutades ühte neist haavatavustest või mõlemast. Ründaja saab klõpsata, salvestada klahvivajutused, varastada seadme turva-PIN-koodi, sisestada seadmesse reklaamvara ja aurutada ka kahefaktorilisi autentimismärke.

"Cloak & Dagger on uus potentsiaalsete rünnakute klass, mis mõjutavad Android-seadmeid. Need rünnakud võimaldavad pahatahtlikul rakendusel kasutajaliidese tagasisideahelat täielikult kontrollida ja seadme üle võtta, andmata kasutajale võimalust pahatahtlikku tegevust märgata,“ märkisid teadlased.

See haavatavus oli avalikustatud ka varem

Selle kuu alguses oli meil teatas sarnasest parandamata haavatavusest Androidi operatsioonisüsteemis, mis kasutaks "System_Alert_Window" luba, mida kasutatakse "peale joonistamiseks".

Varem pidi kasutaja selle loa – System_Alert_Window – käsitsi andma, kuid rakenduste, nagu Facebook Messenger ja teised, mis kasutavad ekraanil kuvatavaid hüpikaknaid, tulekut annab Google selle vaikimisi.

Kuigi haavatavus võib ärakasutamise korral viia täieõigusliku lunavara- või reklaamvararünnakuni, ei ole häkkeril lihtne seda algatada.

See luba vastutab 74% eest lunavara, 57% reklaamvara ja 14% pankurite pahavara rünnakutest Android-seadmete vastu.

Kõiki Play poest allalaaditavaid rakendusi kontrollitakse pahatahtlike koodide ja makrode suhtes. Seega peab ründaja sellest mööda hiilima Google'i sisseehitatud turvasüsteem rakenduste poodi sisenemiseks.

Google värskendas hiljuti ka oma mobiili operatsioonisüsteemi täiendav turvakiht mis skannib läbi kõik rakendused, mida Play poe kaudu seadmesse alla laaditakse.

Kas Androidi kasutamine on praegu ohutu?

Play poest alla laaditud pahatahtlikud rakendused saavad kaks eelnimetatud luba automaatselt, mis võimaldab ründajal kahjustada teie seadet järgmistel viisidel.

• Nähtamatu võrgurünnak: ründaja tõmbab seadmele nähtamatu ülekatte, võimaldades neil klahvivajutused logida.
• Seadme PIN-koodi varastamine ja selle kasutamine taustal isegi siis, kui ekraan on välja lülitatud.
• Reklaamvara seadmesse süstimine.
• Vargsi veebi uurimine ja andmepüügi.

Teadlased võtsid leitud haavatavuste osas ühendust Google'iga ja on kinnitanud, et kuigi ettevõte on parandusi rakendanud, ei ole need lollikindel.

Värskendus keelab ülekatted, mis hoiab ära nähtamatu ruudustiku rünnaku, kuid Clickjacking on siiski võimalik, kuna need load saab pahatahtlik rakendus telefoni avamismeetodi abil avada isegi siis, kui ekraan on keeratud väljas.

Google'i klaviatuur on samuti saanud värskenduse, mis ei takista klahvivajutuste logimist, kuid tagab, et paroolid ei ole lekkis nagu alati parooliväljale väärtuse sisestamisel, nüüd logib klaviatuur paroolid tegeliku asemel punktina iseloomu.

Kuid ka sellest on võimalik mööda hiilida, mida ründajad saavad ära kasutada.

"Kuna pseudounikaalseks loodud vidinaid ja nende räsikoode on võimalik loetleda, räsikoodid on piisavad, et teha kindlaks, millisel klaviatuuri nupul kasutaja tegelikult klõpsas," uurisid teadlased välja toodud.

Kõik uuringute käigus leitud haavatavused on endiselt altid rünnakutele, kuigi Androidi uusim versioon sai 5. mail turvapaiga.

Teadlased esitasid Google Play poodi rakenduse, mis nõudis kahte eelnimetatut lubasid ja näitas selgelt pahatahtlikku kavatsust, kuid see kiideti heaks ja on Plays endiselt saadaval Kauplus. See näitab, et Play poe turvalisus ei tööta tegelikult nii hästi.

Mis on parim viis turvalisuse tagamiseks?

Parim on kontrollida ja keelata need mõlemad õigused käsitsi mis tahes ebausaldusväärse rakenduse jaoks, millel on juurdepääs ühele või mõlemale.

Nii saate kontrollida, millistel rakendustel on teie seadmes juurdepääs nendele kahele eriloale.

• Android Nougat: "peal joonistamine” – Seaded –> Rakendused –> Hammasratta sümbol (paremal ülanurgas) –> Erijuurdepääs –> Muude rakenduste peale joonistamine
  ‘a11y’: Seaded –> Juurdepääsetavus –> Teenused: kontrollige, millised rakendused nõuavad a11y.
• Android Marshmallow: „joonista ülaosale” – Seaded –> Rakendused –> „Hammasratta sümbol” (paremal ülanurgas) –> Joonista üle teiste rakenduste.
  a11y: Seaded → Juurdepääsetavus → Teenused: kontrollige, millised rakendused nõuavad a11y.
• Android Lollipop:"joonista peal" - Seaded -> Rakendused -> klõpsake üksikul rakendusel ja otsige "joonista teiste rakenduste peale"
  a11y: Seaded –> Juurdepääsetavus –> Teenused: kontrollige, millised rakendused nõuavad a11y.

Google pakub teadlaste leitud probleemide lahendamiseks täiendavaid turvavärskendusi.

Kuigi mitmed neist haavatavustest parandatakse järgmiste värskendustega, püsivad nn peal joonistamise loaga seotud probleemid kuni Android O väljalaskmiseni.

Turvariskid Internetis kasvavad tohutult ja praegu on ainus viis oma seadme kaitsmiseks installida usaldusväärne viirusetõrjetarkvara ja olla valvel.