Cloak and Dagger Android Exploit: vole le mot de passe et enregistre les frappes

Des chercheurs du Georgia Institute of Technology et de l'Université de Californie à Santa Barbara ont a publié un rapport indiquant plusieurs vulnérabilités trouvées avec les systèmes d'exploitation Android Lollipop, Marshmallow et Nougat.

Selon les chercheurs, les applications malveillantes ont la capacité d'exploiter deux autorisations sur le Play Store: le « draw on top » et le « service d'accessibilité ».

Les utilisateurs peuvent être attaqués en utilisant l'une de ces vulnérabilités ou les deux. L'attaquant peut détourner des clics, enregistrer des frappes, voler le code PIN de sécurité de l'appareil, insérer un logiciel publicitaire dans l'appareil et également diffuser des jetons d'authentification à deux facteurs.

« Cloak & Dagger est une nouvelle classe d'attaques potentielles affectant les appareils Android. Ces attaques permettent à une application malveillante de contrôler complètement la boucle de rétroaction de l'interface utilisateur et de prendre le contrôle de l'appareil, sans donner à l'utilisateur la possibilité de remarquer l'activité malveillante », ont noté les chercheurs.

Cette vulnérabilité avait également été exposée plus tôt

Plus tôt ce mois-ci, nous avons eu signalé à propos d'une vulnérabilité similaire non corrigée dans le système d'exploitation Android qui utiliserait l'autorisation « System_Alert_Window » utilisée pour « dessiner sur le dessus ».

Auparavant, cette autorisation — System_Alert_Window — devait être accordée manuellement par l'utilisateur, mais avec le l'avènement d'applications comme Facebook Messenger et d'autres qui utilisent des fenêtres contextuelles à l'écran, Google l'accorde en défaut.

Bien que la vulnérabilité, si elle est exploitée, puisse conduire à une véritable attaque de ransomware ou de logiciel publicitaire, il ne sera pas facile pour un pirate de l'initier.

Cette autorisation est responsable de 74% des ransomware, 57 % des logiciels publicitaires et 14 % des attaques de logiciels malveillants bancaires sur les appareils Android.

Toutes les applications que vous téléchargez depuis le Play Store sont analysées à la recherche de codes malveillants et de macros. Ainsi, l'attaquant devra contourner Le système de sécurité intégré de Google pour accéder à l'App Store.

Google a également récemment mis à jour son système d'exploitation mobile avec un couche de sécurité supplémentaire qui parcourt toutes les applications en cours de téléchargement sur l'appareil via le Play Store.

Est-ce que l'utilisation d'Android Safe est maintenant ?

Les applications malveillantes téléchargées depuis le Play Store obtiennent automatiquement les deux autorisations susmentionnées, ce qui permet à un attaquant d'endommager votre appareil des manières suivantes :

• Invisible Grid Attack: l'attaquant dessine une superposition invisible sur l'appareil, lui permettant d'enregistrer les frappes.
• Voler le code PIN de l'appareil et l'utiliser en arrière-plan même lorsque l'écran est éteint.
• Injection d'adware dans l'appareil.
• Explorer le Web et phishing furtivement.

Les chercheurs ont contacté Google au sujet des vulnérabilités découvertes et ont confirmé que bien que la société ait mis en œuvre des correctifs, ils ne sont pas infaillibles.

La mise à jour désactive les superpositions, ce qui empêche l'attaque de grille invisible, mais le détournement de clic est toujours une possibilité car ces autorisations peuvent être déverrouillées par une application malveillante à l'aide de la méthode de déverrouillage du téléphone même lorsque l'écran est tourné désactivé.

Le clavier Google a également reçu une mise à jour qui n'empêche pas l'enregistrement des frappes mais garantit que les mots de passe ne sont pas fuite car chaque fois que vous saisissez une valeur dans un champ de mot de passe, le clavier enregistre désormais les mots de passe sous la forme d'un "point" au lieu du véritable personnage.

Mais il existe également un moyen de contourner cela qui peut être exploité par les attaquants.

"Comme il est possible d'énumérer les widgets et leurs hashcodes qui sont conçus pour être pseudo-uniques, le les hashcodes sont suffisants pour déterminer sur quel bouton du clavier l'utilisateur a réellement cliqué », les chercheurs souligné.

Toutes les vulnérabilités découvertes par la recherche sont toujours sujettes à une attaque, même si la dernière version d'Android a reçu un correctif de sécurité le 5 mai.

Les chercheurs ont soumis une application au Google Play Store qui nécessitait les deux autorisations et a clairement montré une intention malveillante, mais il a été approuvé et est toujours disponible sur le Play Boutique. Cela montre que la sécurité du Play Store ne fonctionne pas très bien.

Quel est le meilleur pari pour rester en sécurité ?

Vérifier et désactiver manuellement ces deux autorisations pour toute application non fiable ayant accès à l'une ou aux deux est le meilleur pari

C'est ainsi que vous pouvez vérifier quelles applications ont accès à ces deux autorisations « spéciales » sur votre appareil.

• Nougat Android: "dessiner sur le dessus" - Paramètres -> Applications -> " Symbole d'engrenage (en haut à droite) -> Accès spécial -> Dessiner sur d'autres applications
  « a11y »: Paramètres -> Accessibilité -> Services: vérifiez quelles applications nécessitent a11y.
• Guimauve Android: "Dessiner sur le dessus" - Paramètres -> Applications -> "Symbole d'engrenage" (en haut à droite) -> Dessiner sur d'autres applications.
  a11y: Paramètres → Accessibilité → Services: vérifiez quelles applications nécessitent a11y.
• Sucette Android :"Dessiner sur le dessus" - Paramètres -> Applications -> cliquez sur une application individuelle et recherchez "Dessiner sur d'autres applications"
  a11y: Paramètres -> Accessibilité -> Services: vérifiez quelles applications nécessitent a11y.

Google fournira d'autres mises à jour de sécurité pour résoudre les problèmes détectés par les chercheurs.

Bien que plusieurs de ces vulnérabilités soient corrigées par les mises à jour suivantes, les problèmes liés à l'autorisation « dessiner sur le dessus » sont là pour rester jusqu'à la sortie d'Android O.

Les risques de sécurité sur Internet augmentent à grande échelle et actuellement, le seul moyen de protéger votre appareil est d'installer un logiciel antivirus de confiance et d'être un justicier.