Cloak and Dagger Android-utnyttelse: stjeler passord og logger tastetrykk

Forskere ved Georgia Institute of Technology og University of California, Santa Barbara, har gitt ut en rapport angir flere sårbarheter funnet med operativsystemene Android Lollipop, Marshmallow og Nougat.

I følge forskerne har ondsinnede apper muligheten til å utnytte to tillatelser i Play-butikken – «trekning på toppen» og «tilgjengelighetstjeneste».

Brukere kan bli angrepet med enten en av disse sårbarhetene eller begge. Angriperen kan clickjack, registrere tastetrykk, stjele sikkerhets-PIN-koden til enheten, sette inn adware i enheten og også dampe to-faktor autentiseringstokener.

"Cloak & Dagger er en ny klasse med potensielle angrep som påvirker Android-enheter. Disse angrepene lar en ondsinnet app fullstendig kontrollere UI-tilbakemeldingssløyfen og ta over enheten, uten å gi brukeren en sjanse til å legge merke til den ondsinnede aktiviteten,» bemerket forskerne.

Denne sårbarheten hadde også blitt avslørt tidligere

Tidligere denne måneden hadde vi rapportert om et lignende uløst sårbarhet i Android-operativsystemet som ville bruke «System_Alert_Window»-tillatelsen brukt til å «tegne på toppen».

Tidligere måtte denne tillatelsen – System_Alert_Window – gis manuelt av brukeren, men med bruk av apper som Facebook Messenger og andre som bruker popup-vinduer på skjermen, gir Google det av misligholde.

Selv om sårbarheten, hvis den utnyttes, kan føre til et fullverdig løsepenge- eller adware-angrep, vil det ikke være lett for en hacker å sette i gang.

Denne tillatelsen er ansvarlig for 74 % av løsepengevare, 57 % av adware- og 14 % av bankers malware-angrep på Android-enheter.

Alle appene du laster ned fra Play Store skannes for skadelige koder og makroer. Så angriperen må omgås Googles innebygde sikkerhetssystem for å komme inn i appbutikken.

Google oppdaterte nylig også sitt mobile operativsystem med en ekstra lag med sikkerhet som skanner gjennom alle appene som lastes ned til enheten via Play Store.

Er det trygt å bruke Android akkurat nå?

Ondsinnede apper som lastes ned fra Play Store får de to nevnte tillatelsene automatisk, noe som lar en angriper skade enheten din på følgende måter:

• Invisible Grid Attack: Angriperen trekker over et usynlig overlegg på enheten, slik at de kan logge tastetrykk.
• Å stjele PIN-koden til enheten og bruke den i bakgrunnen selv når skjermen er slått av.
• Injiserer adware i enheten.
• Utforske nettet og phishing snikende.

Forskerne kontaktet Google om sårbarhetene som ble funnet, og har bekreftet at selv om selskapet har implementert reparasjoner, er de ikke idiotsikre.

Oppdateringen deaktiverer overlegg, som forhindrer det usynlige rutenettangrepet, men Clickjacking er fortsatt en mulighet som disse tillatelsene kan låses opp av en ondsinnet app ved å bruke telefonens opplåsingsmetode selv når skjermen er slått på av.

Google-tastaturet har også mottatt en oppdatering som ikke forhindrer tastetrykklogging, men sikrer at passord ikke lekket som når du skriver inn verdi i et passordfelt, logger tastaturet nå passord som en "prikk" i stedet for den faktiske karakter.

Men det er også en vei rundt dette som kan utnyttes av angriperne.

"Siden det er mulig å telle opp widgetene og hashkodene deres som er designet for å være pseudo-unike, hashkoder er nok til å bestemme hvilken knapp på tastaturet som faktisk ble klikket på av brukeren,» forskerne pekte ut.

Alle sårbarhetene som forskningen har funnet ut er fortsatt utsatt for angrep selv om den nyeste versjonen av Android mottok en sikkerhetsoppdatering 5. mai.

Forskerne sendte inn en app til Google Play Store som krevde de to nevnte tillatelser og viste tydelig ondsinnet hensikt, men den ble godkjent og er fortsatt tilgjengelig på Play Butikk. Dette viser at Play Store-sikkerheten egentlig ikke fungerer så bra.

Hva er det beste alternativet for å være trygg?

Å sjekke og deaktivere begge disse tillatelsene manuelt for enhver upålitelig app som har tilgang til enten den ene eller begge er det beste alternativet

Slik kan du sjekke hvilke apper som har tilgang til disse to 'spesielle' tillatelsene på enheten din.

• Android Nougat: "tegne på toppen» – Innstillinger –> Apper –> ‘Girsymbol (øverst til høyre) –> Spesialtilgang –> Tegn over andre apper
  ‘a11y’: Innstillinger –> Tilgjengelighet –> Tjenester: sjekk hvilke apper som krever a11y.
• Android Marshmallow: “tegn på toppen” – Innstillinger –> Apper –> “Girsymbol” (øverst til høyre) –> Tegn over andre apper.
  a11y: Innstillinger → Tilgjengelighet → Tjenester: sjekk hvilke apper som krever a11y.
• Android Lollipop:"tegn på toppen" - Innstillinger -> Apper -> klikk på individuell app og se etter "tegn over andre apper"
  a11y: Innstillinger –> Tilgjengelighet –> Tjenester: sjekk hvilke apper som krever a11y.

Google vil gi ytterligere sikkerhetsoppdateringer for å løse problemene forskerne har funnet.

Selv om flere av disse sårbarhetene vil bli fikset av følgende oppdateringer, er problemer rundt "draw on top"-tillatelsen der for å forbli til Android O er utgitt.

Sikkerhetsrisikoen på internett vokser i massiv skala, og for øyeblikket er den eneste måten å beskytte enheten din på å installere en pålitelig antivirusprogramvare og være en årvåken.