Cloak and Dagger Android Exploit: varastaa salasanan ja kirjaa näppäinpainallukset
Sekalaista / / December 02, 2021
Georgia Institute of Technologyn ja Santa Barbaran Kalifornian yliopiston tutkijat ovat tehneet julkaisi raportin jossa kerrotaan useista haavoittuvuuksista, jotka löytyvät Android Lollipop-, Marshmallow- ja Nougat-käyttöjärjestelmistä.
Tutkijoiden mukaan haitallisilla sovelluksilla on mahdollisuus hyödyntää kahta Play Kaupan lupaa - "draw on top" ja "esteettömyyspalvelu".
Käyttäjiä voidaan hyökätä käyttämällä jompaakumpaa näistä haavoittuvuuksista tai molemmista. Hyökkääjä voi napsauttaa, tallentaa näppäinpainalluksia, varastaa laitteen suojaus-PIN-koodin, lisätä laitteeseen mainosohjelmia ja myös höyryttää kaksivaiheisia todennustunnuksia.
"Cloak & Dagger on uusi luokka mahdollisia hyökkäyksiä, jotka vaikuttavat Android-laitteisiin. Nämä hyökkäykset antavat haitallisen sovelluksen hallita täysin käyttöliittymän palautesilmukkaa ja ottaa laitteen hallintaansa antamatta käyttäjälle mahdollisuutta havaita haitallista toimintaa", tutkijat huomauttavat.
Tämä haavoittuvuus oli myös paljastettu aiemmin
Aiemmin tässä kuussa meillä oli ilmoitti vastaavasta korjaamattomasta haavoittuvuudesta Android-käyttöjärjestelmässä, joka käyttäisi "System_Alert_Window" -käyttöoikeutta, jota käytetään "piirtää päälle".
Aiemmin tämä käyttöoikeus – System_Alert_Window – käyttäjän oli myönnettävä manuaalisesti, mutta Facebook Messengerin ja muiden näytöllä näkyviä ponnahdusikkunoita käyttävien sovellusten ilmaantuessa Google myöntää sen oletuksena.
Vaikka haavoittuvuus voi, jos sitä käytetään hyväksi, johtaa täysimittaiseen kiristysohjelma- tai mainosohjelmahyökkäykseen, hakkerin ei ole helppoa aloittaa sitä.
Tämä lupa vastaa 74 prosentista lunnasohjelmat, 57 % mainosohjelmista ja 14 % pankkiirien haittaohjelmahyökkäyksistä Android-laitteisiin.
Kaikki Play Kaupasta lataamasi sovellukset tarkistetaan haitallisten koodien ja makrojen varalta. Joten hyökkääjän täytyy kiertää Googlen sisäänrakennettu turvajärjestelmä päästäksesi sovelluskauppaan.
Google päivitti äskettäin myös mobiilikäyttöjärjestelmäänsä ylimääräinen suojakerros joka skannaa kaikki sovellukset, jotka ladataan laitteeseen Play Kaupan kautta.
Onko Androidin käyttö turvallista juuri nyt?
Play Kaupasta ladatut haitalliset sovellukset saavat automaattisesti kaksi edellä mainittua käyttöoikeutta, minkä ansiosta hyökkääjä voi vahingoittaa laitettasi seuraavilla tavoilla:
- Invisible Grid Attack: Hyökkääjä piirtää näkymättömän peitteen laitteelle, jolloin hän voi kirjata näppäinpainallukset.
- Varastaa laitteen PIN-koodia ja käyttää sitä taustalla, vaikka näyttö olisi pois päältä.
- Mainosohjelmien ruiskuttaminen laitteeseen.
- Netin tutkiminen ja tietojenkalastelu salaa.
Tutkijat ottivat yhteyttä Googleen löydetyistä haavoittuvuuksista ja ovat vahvistaneet, että vaikka yritys on toteuttanut korjauksia, ne eivät ole idioottivarmoja.
Päivitys poistaa peittokuvat käytöstä, mikä estää näkymättömän ruudukon hyökkäyksen, mutta Clickjacking on silti mahdollista nämä luvat voidaan avata haitallisella sovelluksella puhelimen lukituksen avausmenetelmällä, vaikka näyttö on käännetty vinossa.
Googlen näppäimistö on myös saanut päivityksen, joka ei estä näppäinpainallusten kirjaamista, mutta varmistaa, että salasanat eivät vuotanut kuten aina syötettäessä arvoa salasanakenttään, nyt näppäimistö kirjaa salasanat "pisteenä" todellisen merkki.
Mutta myös tämä on olemassa keino, jota hyökkääjät voivat hyödyntää.
"Koska on mahdollista luetella widgetit ja niiden hash-koodit, jotka on suunniteltu pseudo-ainutlaatuisiksi, hash-koodit riittävät määrittämään, minkä näppäimistön painiketta käyttäjä todella napsautti", tutkijat huomautti.
Kaikki tutkimuksen löytämät haavoittuvuudet ovat edelleen alttiita hyökkäykselle, vaikka Androidin uusin versio sai tietoturvakorjauksen 5. toukokuuta.
Tutkijat lähettivät Google Play Kauppaan sovelluksen, joka edellytti kahta edellä mainittua luvat ja osoitti selvästi haitallista tarkoitusta, mutta se hyväksyttiin ja on edelleen saatavilla Playssa Store. Tämä osoittaa, että Play Kaupan suojaus ei todellakaan toimi niin hyvin.
Mikä on paras tapa pysyä turvassa?
Paras vaihtoehto on tarkistaa ja poistaa käytöstä molemmat luvat manuaalisesti mille tahansa epäluotettavalle sovellukselle, jolla on pääsy jompaankumpaan tai molempiin.
Näin voit tarkistaa, millä sovelluksilla on pääsy näihin kahteen laitteesi "erityisoikeuteen".
-
Android Nougat: "piirrä päälle” – Asetukset –> Sovellukset –> Hammassymboli (oikeassa yläkulmassa) –> Erikoiskäyttö –> Piirrä muiden sovellusten päälle
‘a11y’: Asetukset –> Esteettömyys –> Palvelut: tarkista, mitkä sovellukset vaativat a11y: n. -
Android Marshmallow: "piirrä päälle" - Asetukset -> Sovellukset -> "Ratassymboli" (oikeassa yläkulmassa) -> Piirrä muiden sovellusten päälle.
a11y: Asetukset → Esteettömyys → Palvelut: tarkista, mitkä sovellukset vaativat a11y: n. -
Android Lollipop:"piirrä päälle" - Asetukset -> Sovellukset -> napsauta yksittäistä sovellusta ja etsi "piirrä muiden sovellusten päälle"
a11y: Asetukset –> Esteettömyys –> Palvelut: tarkista, mitkä sovellukset vaativat a11y: n.
Google tarjoaa lisää tietoturvapäivityksiä ratkaistakseen tutkijoiden löytämät ongelmat.
Vaikka useat näistä haavoittuvuuksista korjataan seuraavilla päivityksillä, "piirtää päälle" -lupaan liittyvät ongelmat pysyvät voimassa Android O: n julkaisuun asti.
Internetin tietoturvariskit kasvavat valtavasti, ja tällä hetkellä ainoa tapa suojata laitettasi on asentaa luotettava virustorjuntaohjelmisto ja olla valppaana.