Cloak and Dagger Exploit na Androida: kradnie hasło i loguje naciśnięcia klawiszy

Naukowcy z Georgia Institute of Technology i University of California w Santa Barbara mają opublikował raport podając kilka luk znalezionych w systemach operacyjnych Android Lollipop, Marshmallow i Nougat.

Według badaczy złośliwe aplikacje mają możliwość wykorzystywania dwóch uprawnień w Sklepie Play — „rysowania na wierzchu” i „usługi ułatwień dostępu”.

Użytkownicy mogą zostać zaatakowani przy użyciu jednej z tych luk lub obu. Atakujący może kliknąć, nagrywać naciśnięcia klawiszy, ukraść PIN bezpieczeństwa urządzenia, wstawić adware do urządzenia, a także wykorzystać tokeny uwierzytelniania dwuskładnikowego.

„Cloak & Dagger to nowa klasa potencjalnych ataków na urządzenia z systemem Android. Ataki te pozwalają złośliwej aplikacji całkowicie kontrolować pętlę sprzężenia zwrotnego interfejsu użytkownika i przejąć kontrolę nad urządzeniem, nie dając użytkownikowi szansy na zauważenie szkodliwej aktywności” – zauważyli badacze.

Ta luka również została ujawniona wcześniej

Wcześniej w tym miesiącu mieliśmy poinformował o podobnej nienaprawionej luce w systemie operacyjnym Android, który używałby uprawnienia „System_Alert_Window” używanego do „rysowania na wierzchu”.

Wcześniej to uprawnienie — System_Alert_Window — musiało być przyznane ręcznie przez użytkownika, ale z pojawienie się aplikacji, takich jak Facebook Messenger i innych, które wykorzystują wyskakujące okienka na ekranie, Google przyznaje to przez domyślny.

Chociaż luka, jeśli zostanie wykorzystana, może prowadzić do pełnego ataku ransomware lub adware, hakerowi nie będzie łatwo zainicjować.

To uprawnienie odpowiada za 74% ransomware, 57% ataków adware i 14% ataków złośliwego oprogramowania bankowego na urządzenia z systemem Android.

Wszystkie aplikacje pobierane ze Sklepu Play są skanowane pod kątem złośliwych kodów i makr. Tak więc atakujący będzie musiał obejść Wbudowany system bezpieczeństwa Google aby uzyskać dostęp do sklepu z aplikacjami.

Niedawno firma Google zaktualizowała również swój mobilny system operacyjny o dodatkowa warstwa bezpieczeństwa który skanuje wszystkie aplikacje pobierane na urządzenie za pośrednictwem Sklepu Play.

Czy korzystanie z Androida jest teraz bezpieczne?

Złośliwe aplikacje pobierane ze Sklepu Play automatycznie uzyskują dwa wyżej wymienione uprawnienia, co umożliwia osobie atakującej uszkodzenie urządzenia w następujący sposób:

• Invisible Grid Attack: Atakujący rysuje niewidzialną nakładkę na urządzenie, pozwalając mu rejestrować naciśnięcia klawiszy.
• Kradzież PIN-u urządzenia i operowanie nim w tle nawet przy wyłączonym ekranie.
• Wstrzykiwanie adware do urządzenia.
• Potajemne eksplorowanie sieci i phishing.

Badacze skontaktowali się z Google w sprawie znalezionych luk i potwierdzili, że chociaż firma wdrożyła poprawki, nie są one niezawodne.

Aktualizacja wyłącza nakładki, co zapobiega atakowi niewidzialnej siatki, ale Clickjacking jest nadal możliwy, ponieważ te uprawnienia mogą zostać odblokowane przez złośliwą aplikację przy użyciu metody odblokowywania telefonu, nawet gdy ekran jest obrócony wyłączony.

Klawiatura Google również otrzymała aktualizację, która nie zapobiega rejestrowaniu naciśnięć klawiszy, ale zapewnia, że ​​hasła nie są wyciekły, jak przy wprowadzaniu wartości w polu hasła, teraz klawiatura rejestruje hasła jako „kropkę” zamiast rzeczywistej postać.

Ale jest też sposób na obejście tego, który może zostać wykorzystany przez atakujących.

„Ponieważ możliwe jest wyliczenie widżetów i ich hashkodów, które mają być pseudo-unikatowe, hashcodes wystarczą, aby określić, który przycisk klawiatury został faktycznie kliknięty przez użytkownika” – naukowcy wskazany.

Wszystkie luki, które wykryto w badaniu, nadal są podatne na ataki, mimo że najnowsza wersja Androida otrzymała łatę bezpieczeństwa 5 maja.

Badacze przesłali aplikację do sklepu Google Play, która wymagała dwóch wyżej wymienionych uprawnień i wyraźnie wykazywał złośliwe zamiary, ale został zatwierdzony i nadal jest dostępny w Play Sklep. To pokazuje, że zabezpieczenia Sklepu Play nie działają tak dobrze.

Jaki jest najlepszy sposób na zachowanie bezpieczeństwa?

Najlepszym rozwiązaniem jest ręczne sprawdzenie i wyłączenie obu tych uprawnień dla niezaufanych aplikacji, które mają dostęp do jednego lub obu z nich

W ten sposób możesz sprawdzić, które aplikacje mają dostęp do tych dwóch „specjalnych” uprawnień na Twoim urządzeniu.

• Android Nugat: „rysuj na wierzchu” – Ustawienia –> Aplikacje –> „Symbol koła zębatego (prawy górny róg) –> Specjalny dostęp –> Rysuj nad innymi aplikacjami
  ‘a11y’: Ustawienia –> Ułatwienia dostępu –> Usługi: sprawdź, które aplikacje wymagają a11y.
• Android Marshmallow: „rysuj na górze” – Ustawienia –> Aplikacje –> „Symbol koła zębatego” (prawy górny róg) –> Rysuj nad innymi aplikacjami.
  a11y: Ustawienia → Dostępność → Usługi: sprawdź, które aplikacje wymagają a11y.
• Lizak na Androida:„rysuj na wierzchu” – Ustawienia –> Aplikacje –> kliknij na pojedynczą aplikację i poszukaj „rysuj nad innymi aplikacjami”
  a11y: Ustawienia –> Ułatwienia dostępu –> Usługi: sprawdź, które aplikacje wymagają a11y.

Google będzie dostarczać kolejne aktualizacje zabezpieczeń, aby rozwiązać problemy wykryte przez badaczy.

Chociaż kilka z tych luk zostanie naprawionych w kolejnych aktualizacjach, problemy związane z zezwoleniem „rysuj na wierzchu” pozostaną do czasu wydania Androida O.

Zagrożenia bezpieczeństwa w Internecie rosną na masową skalę i obecnie jedynym sposobem ochrony urządzenia jest zainstalowanie zaufanego oprogramowania antywirusowego i bycie czujnym.