Cloak and Dagger Android Exploit: vagia slaptažodį ir registruoja klavišų paspaudimus

Džordžijos technologijos instituto ir Kalifornijos universiteto Santa Barbaroje mokslininkai paskelbė pranešimą nurodant keletą pažeidžiamumų, rastų Android Lollipop, Marshmallow ir Nougat operacinėse sistemose.

Tyrėjų teigimu, kenkėjiškos programos gali išnaudoti du „Play“ parduotuvės leidimus – „piešti viršuje“ ir „prieinamumo paslaugą“.

Vartotojai gali būti užpulti naudojant vieną iš šių pažeidžiamumų arba abu. Užpuolikas gali spustelėti, įrašyti klavišų paspaudimus, pavogti įrenginio saugos PIN kodą, į įrenginį įterpti reklamines programas ir taip pat išgaruoti dviejų veiksnių autentifikavimo žetonus.

„Cloak & Dagger yra nauja galimų atakų klasė, paveikianti Android įrenginius. Šios atakos leidžia kenkėjiškajai programai visiškai valdyti vartotojo sąsajos grįžtamojo ryšio kilpą ir perimti įrenginį, nesuteikiant vartotojui galimybės pastebėti kenkėjiškos veiklos“, – pažymėjo mokslininkai.

Šis pažeidžiamumas taip pat buvo atskleistas anksčiau

Anksčiau šį mėnesį turėjome pranešė apie panašų nepataisytą pažeidžiamumą „Android“ operacinėje sistemoje, kuri naudotų „System_Alert_Window“ leidimą, naudojamą „piešti viršuje“.

Anksčiau šį leidimą – System_Alert_Window – vartotojas turėjo suteikti rankiniu būdu, bet su Atsiradus programoms, pvz., „Facebook Messenger“ ir kitoms, naudojančioms iššokančiuosius langus, „Google“ tai suteikia numatytas.

Nors pažeidžiamumas, jei juo pasinaudojama, gali sukelti visavertę išpirkos reikalaujančių ar reklaminių programų ataką, įsilaužėliui nebus lengva tai pradėti.

Šis leidimas yra atsakingas už 74 proc ransomware, 57 % reklaminių programų ir 14 % bankininkų kenkėjiškų programų atakų prieš Android įrenginius.

Visos programos, kurias atsisiunčiate iš „Play“ parduotuvės, nuskaitomos, ar nėra kenkėjiškų kodų ir makrokomandų. Taigi, užpuolikas turės apeiti „Google“ integruota apsaugos sistema norėdami patekti į programų parduotuvę.

„Google“ neseniai taip pat atnaujino savo mobiliąją operacinę sistemą papildomas saugumo sluoksnis kuris nuskaito visas programas, kurios atsisiunčiamos į įrenginį iš „Play“ parduotuvės.

Ar saugu naudoti „Android“?

Kenkėjiškos programos, atsisiunčiamos iš „Play“ parduotuvės, automatiškai įgyja du pirmiau minėtus leidimus, todėl užpuolikas gali pakenkti jūsų įrenginiui šiais būdais:

• Nematoma tinklelio ataka: užpuolikas ant įrenginio nubrėžia nematomą perdangą, leidžiančią registruoti klavišų paspaudimus.
• Pavogti įrenginio PIN kodą ir valdyti jį fone, net kai ekranas išjungtas.
• Reklaminių programų įvedimas į įrenginį.
• Naršyti žiniatinklį ir slaptas sukčiavimas.

Tyrėjai susisiekė su Google dėl rastų pažeidžiamumų ir patvirtino, kad nors bendrovė įdiegė pataisymus, jie nėra patikimi.

Atnaujinimas išjungia perdangas, o tai apsaugo nuo nematomo tinklelio atakos, tačiau „Clickjacking“ vis tiek yra galimybė, nes šiuos leidimus gali atrakinti kenkėjiška programa, naudojant telefono atrakinimo metodą, net kai ekranas yra pasuktas išjungti.

„Google“ klaviatūra taip pat gavo atnaujinimą, kuris neapsaugo nuo klavišų paspaudimų registravimo, bet užtikrina, kad slaptažodžiai nebūtų nutekėjo kaip kiekvieną kartą įvedant reikšmę į slaptažodžio lauką, dabar klaviatūra slaptažodžius registruoja kaip „tašką“, o ne tikrąjį charakteris.

Tačiau taip pat yra būdas, kuriuo užpuolikai gali pasinaudoti.

„Kadangi galima išvardyti valdiklius ir jų maišos kodus, kurie sukurti taip, kad būtų pseudounikalūs, maišos kodų pakanka nustatyti, kurios klaviatūros mygtuką iš tikrųjų spustelėjo vartotojas“, – tyrėjai nurodė.

Visi pažeidžiamumai, kuriuos nustatė tyrimas, vis dar yra linkę į ataką, nors naujausia „Android“ versija gegužės 5 d. gavo saugos pataisą.

Tyrėjai „Google Play“ parduotuvei pateikė programą, kuriai reikėjo dviejų pirmiau minėtų dalykų leidimus ir aiškiai parodė kenkėjiškus ketinimus, tačiau jis buvo patvirtintas ir vis dar pasiekiamas „Play“. Parduotuvė. Tai rodo, kad „Play“ parduotuvės sauga iš tikrųjų neveikia taip gerai.

Koks yra geriausias būdas išlikti saugiems?

Geriausias pasirinkimas yra rankiniu būdu patikrinti ir išjungti abu šiuos leidimus bet kuriai nepatikima programai, kuri turi prieigą prie vienos arba abiejų.

Taip galite patikrinti, kurios programos turi prieigą prie šių dviejų „specialių“ leidimų jūsų įrenginyje.

• Android Nougat: "piešti ant viršaus“ – Nustatymai –> Programos –> „Krumpliaračio simbolis (viršuje dešinėje)“ –> Speciali prieiga –> Piešti ant kitų programų
  „a11y“: Nustatymai –> Prieinamumas –> Paslaugos: patikrinkite, kurioms programoms reikia a11y.
• Android Marshmallow: "piešti viršuje" - Nustatymai -> Programos -> "Krumpliaračio simbolis" (viršuje dešinėje) -> Piešti ant kitų programų.
  a11y: Nustatymai → Prieinamumas → Paslaugos: patikrinkite, kurioms programoms reikia a11y.
• Android Lollipop:"piešti viršuje" - Nustatymai -> Programos -> spustelėkite atskirą programą ir ieškokite "piešti ant kitų programų"
  a11y: Nustatymai –> Prieinamumas –> Paslaugos: patikrinkite, kurioms programoms reikia a11y.

„Google“ pateiks papildomų saugos naujinimų, kad išspręstų tyrėjų nustatytas problemas.

Nors keli iš šių spragų bus ištaisyti šiais atnaujinimais, problemos, susijusios su leidimu „piešti viršuje“, išliks, kol bus išleista „Android O“.

Saugumo pavojai internete auga didžiuliu mastu ir šiuo metu vienintelis būdas apsaugoti savo įrenginį yra įdiegti patikimą antivirusinę programinę įrangą ir būti budriam.