Cloak and Dagger Android Exploit: steelt wachtwoord en logt toetsaanslagen

Onderzoekers van het Georgia Institute of Technology en de University of California, Santa Barbara, hebben een rapport uitgebracht met vermelding van verschillende kwetsbaarheden die zijn gevonden met de besturingssystemen Android Lollipop, Marshmallow en Nougat.

Volgens de onderzoekers hebben kwaadaardige apps de mogelijkheid om twee machtigingen in de Play Store te misbruiken: de 'draw on top' en 'accessibility service'.

Gebruikers kunnen worden aangevallen met een van deze kwetsbaarheden of met beide. De aanvaller kan clickjacken, toetsaanslagen opnemen, de beveiligingspincode van het apparaat stelen, adware in het apparaat plaatsen en ook tweefactorauthenticatietokens stomen.

"Cloak & Dagger is een nieuwe klasse van potentiële aanvallen die Android-apparaten aantasten. Deze aanvallen stellen een kwaadwillende app in staat om de feedbacklus van de gebruikersinterface volledig te controleren en het apparaat over te nemen, zonder de gebruiker de kans te geven de kwaadaardige activiteit op te merken”, merkten de onderzoekers op.

Deze kwetsbaarheid was ook eerder aan het licht gekomen

Eerder deze maand hadden we gemeld over een vergelijkbare niet-gefixeerde kwetsbaarheid in het Android-besturingssysteem dat de toestemming 'System_Alert_Window' zou gebruiken om 'bovenop te tekenen'.

Eerder moest deze toestemming - System_Alert_Window - handmatig worden verleend door de gebruiker, maar met de komst van apps zoals Facebook Messenger en andere die pop-ups op het scherm gebruiken, verleent Google dit door standaard.

Hoewel de kwetsbaarheid, indien misbruikt, kan leiden tot een volwaardige ransomware- of adware-aanval, zal het voor een hacker niet gemakkelijk zijn om te beginnen.

Deze toestemming is verantwoordelijk voor 74% van ransomware, 57% van de adware en 14% van de malware-aanvallen van bankiers op Android-apparaten.

Alle apps die u uit de Play Store downloadt, worden gescand op schadelijke codes en macro's. Dus de aanvaller zal moeten omzeilen Het ingebouwde beveiligingssysteem van Google om toegang te krijgen tot de app store.

Google heeft onlangs ook zijn mobiele besturingssysteem geüpdatet met een extra beveiligingslaag die door alle apps scant die via de Play Store naar het apparaat worden gedownload.

Is het gebruik van Android nu veilig?

Schadelijke apps die uit de Play Store worden gedownload, krijgen automatisch de twee bovengenoemde machtigingen, waardoor een aanvaller uw apparaat op de volgende manieren kan beschadigen:

• Invisible Grid Attack: de aanvaller tekent over een onzichtbare overlay op het apparaat, waardoor hij toetsaanslagen kan registreren.
• De pincode van het apparaat stelen en op de achtergrond bedienen, zelfs als het scherm is uitgeschakeld.
• Het injecteren van adware in het apparaat.
• Het web verkennen en stiekem phishing.

De onderzoekers hebben contact opgenomen met Google over de gevonden kwetsbaarheden en hebben bevestigd dat hoewel het bedrijf oplossingen heeft geïmplementeerd, deze niet onfeilbaar zijn.

De update schakelt overlays uit, wat de onzichtbare rasteraanval voorkomt, maar Clickjacking is nog steeds een mogelijkheid als deze machtigingen kunnen worden ontgrendeld door een schadelijke app met behulp van de ontgrendelingsmethode van de telefoon, zelfs als het scherm is gedraaid uit.

Het Google-toetsenbord heeft ook een update ontvangen die het loggen van toetsaanslagen niet verhindert, maar ervoor zorgt dat wachtwoorden dat niet doen gelekt, zoals bij het invoeren van waarde in een wachtwoordveld, registreert het toetsenbord wachtwoorden nu als een 'punt' in plaats van de werkelijke karakter.

Maar er is ook een manier om dit te omzeilen die door de aanvallers kan worden uitgebuit.

“Omdat het mogelijk is om de widgets en hun hashcodes op te sommen die zijn ontworpen om pseudo-uniek te zijn, hashcodes zijn voldoende om te bepalen op welke toetsenbordknop de gebruiker daadwerkelijk heeft geklikt", aldus de onderzoekers gewezen.

Alle kwetsbaarheden die uit het onderzoek zijn gebleken, zijn nog steeds vatbaar voor een aanval, ook al heeft de nieuwste versie van Android op 5 mei een beveiligingspatch ontvangen.

De onderzoekers dienden een app in bij de Google Play Store waarvoor de twee bovengenoemde nodig waren machtigingen en toonde duidelijk kwaadaardige bedoelingen, maar het werd goedgekeurd en is nog steeds beschikbaar op de Play Winkel. Dit laat zien dat de Play Store-beveiliging niet zo goed functioneert.

Wat is de beste gok om veilig te blijven?

Het is de beste keuze om beide machtigingen handmatig te controleren en uit te schakelen voor elke niet-vertrouwde app die toegang heeft tot een van beide of beide.

Zo check je welke apps toegang hebben tot deze twee ‘bijzondere’ rechten op je toestel.

• Android Nougat: "teken bovenaan” – Instellingen -> Apps -> ‘Versnellingssymbool (rechtsboven) -> Speciale toegang -> Teken over andere apps
  ‘a11y’: Instellingen -> Toegankelijkheid -> Diensten: check welke apps een 11y nodig hebben.
• Android Marshmallow: "bovenaan tekenen" - Instellingen -> Apps -> "Gear symbol" (rechtsboven) -> Teken over andere apps.
  a11y: Instellingen → Toegankelijkheid → Diensten: controleer welke apps a11y nodig hebben.
• Android-lolly:"teken bovenaan" - Instellingen -> Apps -> klik op individuele app en zoek naar "teken over andere apps"
  a11y: Instellingen -> Toegankelijkheid -> Services: check welke apps a11y nodig hebben.

Google zal verdere beveiligingsupdates leveren om de door de onderzoekers gevonden problemen op te lossen.

Hoewel verschillende van deze kwetsbaarheden zullen worden verholpen door de volgende updates, blijven problemen rond de 'draw on top'-toestemming bestaan ​​​​totdat Android O wordt uitgebracht.

Beveiligingsrisico's op internet nemen enorm toe en momenteel is de enige manier om uw apparaat te beschermen het installeren van vertrouwde antivirussoftware en een burgerwacht.