クロークアンドダガーAndroidエクスプロイト:パスワードを盗み、キーストロークを記録する
その他 / / December 02, 2021
ジョージア工科大学とカリフォルニア大学サンタバーバラ校の研究者は、 レポートをリリース Android Lollipop、Marshmallow、Nougatオペレーティングシステムで見つかったいくつかの脆弱性について述べています。
研究者によると、悪意のあるアプリには、Playストアの2つの権限(「トップに描画」と「ユーザー補助サービス」)を悪用する機能があります。
ユーザーは、これらの脆弱性のいずれかまたは両方を使用して攻撃される可能性があります。 攻撃者は、クリックジャック、キーストロークの記録、デバイスのセキュリティPINの盗用、デバイスへのアドウェアの挿入、および2要素認証トークンのスチームを行うことができます。
「Cloak&Daggerは、Androidデバイスに影響を与える新しいクラスの潜在的な攻撃です。 これらの攻撃により、悪意のあるアプリがUIフィードバックループを完全に制御し、デバイスを乗っ取ることができます。ユーザーに悪意のあるアクティビティに気付く機会を与えることはありません」と研究者は述べています。
この脆弱性は以前にも公開されていました
今月初めに、 同様の未修正の脆弱性について報告されました Androidオペレーティングシステムでは、「上に描画」するために使用される「System_Alert_Window」権限を使用します。
以前は、この権限(System_Alert_Window)はユーザーが手動で付与する必要がありましたが、 画面上のポップアップを使用するFacebookMessengerなどのアプリの出現により、Googleはそれを許可します ディフォルト。
この脆弱性が悪用された場合、本格的なランサムウェアまたはアドウェア攻撃につながる可能性がありますが、ハッカーが開始するのは簡単ではありません。
この許可は74%の責任があります ランサムウェア、Androidデバイスに対するアドウェアの57%とバンカーマルウェア攻撃の14%。
Playストアからダウンロードしたすべてのアプリは、悪意のあるコードとマクロがないかスキャンされます。 したがって、攻撃者は回避する必要があります Googleの組み込みのセキュリティシステム アプリストアへのエントリーを獲得します。
Googleは最近、モバイルオペレーティングシステムを次のように更新しました。 セキュリティの追加レイヤー Playストア経由でデバイスにダウンロードされているすべてのアプリをスキャンします。
現在Androidセーフを使用していますか?
Playストアからダウンロードされた悪意のあるアプリは、前述の2つの権限を自動的に取得します。これにより、攻撃者は次の方法でデバイスに危害を加えることができます。
- 目に見えないグリッド攻撃:攻撃者は、目に見えないオーバーレイをデバイスに描画し、キーストロークをログに記録できるようにします。
- 画面がオフの場合でも、デバイスのPINを盗み、バックグラウンドで操作します。
- デバイスにアドウェアを注入します。
- ウェブを探索し、ステルスにフィッシングを行います。
研究者は発見された脆弱性についてGoogleに連絡し、会社が修正を実装したものの、それらが絶対確実ではないことを確認しました。
このアップデートではオーバーレイが無効になり、目に見えないグリッド攻撃が防止されますが、クリックジャッキングは依然として可能性があります。 これらの権限は、画面が回転している場合でも、電話のロック解除方法を使用して悪意のあるアプリによってロック解除される可能性があります オフ。
Googleキーボードは、キーストロークロギングを妨げないが、パスワードがないことを保証するアップデートも受け取りました。 パスワードフィールドに値を入力するたびにリークが発生し、キーボードはパスワードを実際のドットではなく「ドット」として記録するようになりました キャラクター。
しかし、これを回避する方法もあり、攻撃者が悪用する可能性があります。
「疑似一意になるように設計されたウィジェットとそのハッシュコードを列挙することが可能であるため、 ハッシュコードは、ユーザーが実際にクリックしたキーボードのボタンを判別するのに十分です」と研究者は述べています。 指摘した。
最新バージョンのAndroidが5月5日にセキュリティパッチを受け取ったとしても、調査で判明したすべての脆弱性は依然として攻撃を受けやすい傾向があります。
研究者は、前述の2つを必要とするアプリをGooglePlayストアに提出しました 許可を得て、悪意を明確に示しましたが、承認され、Playで引き続き利用できます 店。 これは、Playストアのセキュリティが実際にはそれほどうまく機能していないことを示しています。
安全を確保するための最善の策は何ですか?
どちらか一方または両方にアクセスできる信頼できないアプリについて、これらの両方の権限を手動で確認して無効にすることをお勧めします
これは、どのアプリがデバイス上のこれら2つの「特別な」権限にアクセスできるかを確認する方法です。
-
Android Nougat:「上に描く」–設定–>アプリ–>「歯車の記号(右上)–>特別なアクセス–>他のアプリの上に描く
「a11y」:[設定] –> [ユーザー補助] –> [サービス]:a11yが必要なアプリを確認します。 -
Android Marshmallow: 「上に描画」–設定–>アプリ–>「歯車の記号」(右上)–>他のアプリの上に描画します。
a11y:[設定]→[ユーザー補助]→[サービス]:どのアプリにa11yが必要かを確認します。 -
Android Lollipop:「上に描画」–設定–>アプリ–>個々のアプリをクリックして、「他のアプリの上に描画」を探します
a11y:[設定] –> [ユーザー補助] –> [サービス]:a11yが必要なアプリを確認します。
グーグルは、研究者によって発見された問題を解決するために、さらなるセキュリティアップデートを提供します。
これらの脆弱性のいくつかは次のアップデートで修正されますが、「トップに描画」権限を取り巻く問題は、AndroidOがリリースされるまで残ります。
インターネット上のセキュリティリスクは大規模に拡大しており、現在、デバイスを保護する唯一の方法は、信頼できるウイルス対策ソフトウェアをインストールし、自警行為を行うことです。