Cloak and Dagger Android Exploit: Jelszólopás és billentyűleütések naplózása

A Georgia Institute of Technology és a Santa Barbarai Kaliforniai Egyetem kutatói megtették jelentést adott ki az Android Lollipop, Marshmallow és Nougat operációs rendszereken talált több sebezhetőséget ismertetve.

A kutatók szerint a rosszindulatú alkalmazások két engedélyt képesek kihasználni a Play Áruházban – a „rajzolás felül” és a „kisegítő lehetőségek” szolgáltatást.

A felhasználókat e biztonsági rések valamelyike ​​vagy mindkettő megtámadhatja. A támadó kattinthat, rögzíthet billentyűleütéseket, ellophatja az eszköz biztonsági PIN-kódját, adware-t helyezhet be az eszközbe, és kétfaktoros hitelesítési tokeneket is beszúrhat.

Olvassa el még: 5 tipp, hogy megakadályozza, hogy Android-eszközét ransomware sújtja.

„A Cloak & Dagger az Android-eszközöket érintő potenciális támadások új osztálya. Ezek a támadások lehetővé teszik a rosszindulatú alkalmazások számára, hogy teljesen irányítsák a felhasználói felület visszacsatolási hurkát, és átvegyék az eszközt anélkül, hogy esélyt adnának a felhasználónak arra, hogy észrevegye a rosszindulatú tevékenységet” – jegyezték meg a kutatók.

Ezt a sebezhetőséget korábban is nyilvánosságra hozták

A hónap elején volt hasonló, javítatlan sérülékenységről számolt be Android operációs rendszerben, amely a „System_Alert_Window” engedélyt használja a „felül rajzoláshoz”.

Korábban ezt az engedélyt – System_Alert_Window – a felhasználónak kézzel kellett megadnia, de a Az olyan alkalmazások megjelenése, mint a Facebook Messenger és mások, amelyek képernyőn megjelenő pop-upokat használnak, a Google megadja ezt alapértelmezett.

Bár a sérülékenység, ha kihasználják, teljes értékű ransomware vagy adware támadáshoz vezethet, egy hackernek nem lesz könnyű kezdeményeznie.

Ez az engedély a 74%-áért felelős ransomware, a reklámprogramok 57%-a és a bankár rosszindulatú programok 14%-a Android-eszközökön.

A Play Áruházból letöltött összes alkalmazást ellenőrzi a rosszindulatú kódok és makrók. Tehát a támadónak ki kell kerülnie A Google beépített biztonsági rendszere hogy beléphessen az alkalmazásboltba.

A Google a közelmúltban mobil operációs rendszerét is frissítette egy további biztonsági réteg amely átvizsgálja az összes olyan alkalmazást, amelyet a Play Áruházon keresztül töltenek le az eszközre.

Biztonságos most az Android használata?

A Play Áruházból letöltött rosszindulatú alkalmazások automatikusan megkapják a fent említett két engedélyt, ami lehetővé teszi a támadók számára, hogy a következő módokon károsítsák az eszközt:

• Invisible Grid Attack: A támadó egy láthatatlan fedvényt rajzol az eszközre, lehetővé téve számára a billentyűleütések naplózását.
• A készülék PIN-kódjának ellopása és a háttérben történő működtetése, még akkor is, ha a képernyő ki van kapcsolva.
• Reklámprogramok befecskendezése a készülékbe.
• Az internet felfedezése és lopakodó adathalászat.

A kutatók felvették a kapcsolatot a Google-lal a talált sebezhetőségek miatt, és megerősítették, hogy bár a cég végrehajtott javításokat, azok nem bolondbiztosak.

A frissítés letiltja az átfedéseket, ami megakadályozza a láthatatlan rácstámadást, de a Clickjacking továbbra is lehetséges, mivel ezeket az engedélyeket egy rosszindulatú alkalmazás feloldhatja a telefon feloldó módszerével még akkor is, ha a képernyő el van fordítva ki.

A Google billentyűzete is kapott egy frissítést, amely nem akadályozza meg a billentyűleütések naplózását, de biztosítja, hogy a jelszavak ne legyenek kiszivárgott, mint amikor értéket ír be egy jelszómezőbe, most a billentyűzet a jelszavakat „pontként” naplózza a tényleges helyett karakter.

De ezt is ki lehet kerülni, amit a támadók kihasználhatnak.

„Mivel lehetséges felsorolni azokat a widgeteket és hashkódjaikat, amelyeket úgy terveztek, hogy ál-egyediek legyenek, a A hashkódok elegendőek ahhoz, hogy megállapítsák, melyik billentyűzet gombjára kattintott valójában a felhasználó” – írják a kutatók rámutatott.

Olvassa el még: 13 menő Android-szolgáltatás, amelyet a Google mutatott be.

A kutatás által feltárt összes sérülékenység továbbra is támadásra hajlamos, annak ellenére, hogy az Android legújabb verziója május 5-én kapott egy biztonsági javítást.

A kutatók benyújtottak egy alkalmazást a Google Play Áruházba, amelyhez a fent említett kettőre volt szükség engedélyekkel, és egyértelműen rosszindulatú szándékot mutatott, de jóváhagyták, és továbbra is elérhető a Playen Bolt. Ez azt mutatja, hogy a Play Áruház biztonsága nem igazán működik olyan jól.

Mi a legjobb megoldás a biztonság megőrzésére?

A legjobb megoldás mindkét engedély manuális ellenőrzése és letiltása minden olyan nem megbízható alkalmazásnál, amely hozzáfér az egyikhez vagy mindkettőhöz.

Így ellenőrizheti, hogy mely alkalmazások férnek hozzá ehhez a két „speciális” engedélyhez az eszközön.

• Android Nougat: "Rajzolj felül” - Beállítások -> Alkalmazások -> "Fogaskerék szimbólum (jobbra fent) -> Speciális hozzáférés -> Rajzolj más alkalmazások fölé
  „a11y”: Beállítások –> Kisegítő lehetőségek –> Szolgáltatások: ellenőrizze, hogy mely alkalmazások igényelnek a11y-t.
• Android Marshmallow: „rajzolás felül” – Beállítások –> Alkalmazások –> „Fogaskerék-szimbólum” (jobbra fent) –> Rajzolás más alkalmazások fölé.
  a11y: Beállítások → Kisegítő lehetőségek → Szolgáltatások: ellenőrizze, hogy mely alkalmazások igényelnek a11y-t.
• Android Lollipop:"rajzolás felül" - Beállítások -> Alkalmazások -> kattintson az egyes alkalmazásra, és keresse meg a "rajzolás más alkalmazások fölé" lehetőséget.
  a11y: Beállítások –> Kisegítő lehetőségek –> Szolgáltatások: ellenőrizze, hogy mely alkalmazások igényelnek a11y-t.

A Google további biztonsági frissítésekkel fogja megoldani a kutatók által feltárt problémákat.

Olvassa el még: Íme, hogyan távolíthatja el a Ransomware-t a telefonjáról.

Noha a biztonsági rések közül néhányat kijavítanak a következő frissítések, a „rajzolás tetejére” engedéllyel kapcsolatos problémák az Android O megjelenéséig fennmaradnak.

Az internet biztonsági kockázatai hatalmas mértékben nőnek, és jelenleg az egyetlen módja annak, hogy megvédje eszközét, ha megbízható víruskereső szoftvert telepít, és vigyáz.

Utolsó frissítés: 2022. február 03

A fenti cikk olyan társult linkeket tartalmazhat, amelyek segítenek a Guiding Tech támogatásában. Ez azonban nem befolyásolja szerkesztői integritásunkat. A tartalom elfogulatlan és hiteles marad.