Exploit Android Cloak and Dagger: fură parola și înregistrează apăsările de la taste

Cercetătorii de la Georgia Institute of Technology și Universitatea din California, Santa Barbara, au a lansat un raport menționând mai multe vulnerabilități găsite cu sistemele de operare Android Lollipop, Marshmallow și Nougat.

Potrivit cercetătorilor, aplicațiile rău intenționate au capacitatea de a exploata două permisiuni în Magazinul Play - „desenarea în partea de sus” și „serviciul de accesibilitate”.

Utilizatorii pot fi atacați folosind oricare dintre aceste vulnerabilități sau ambele. Atacatorul poate face click-jack, înregistra apăsările de la taste, poate fura PIN-ul de securitate al dispozitivului, poate introduce adware în dispozitiv și, de asemenea, poate folosi jetoane de autentificare cu doi factori.

Citește și: 5 sfaturi pentru a preveni ca dispozitivul dvs. Android să fie lovit de ransomware.

„Cloak & Dagger este o nouă clasă de atacuri potențiale care afectează dispozitivele Android. Aceste atacuri permit unei aplicații rău intenționate să controleze complet bucla de feedback UI și să preia dispozitivul, fără a oferi utilizatorului șansa de a observa activitatea rău intenționată”, au observat cercetătorii.

Această vulnerabilitate a fost expusă și mai devreme

La începutul acestei luni, am avut a raportat despre o vulnerabilitate similară neremediată în sistemul de operare Android care ar folosi permisiunea „System_Alert_Window” folosită pentru a „desena deasupra”.

Anterior, această permisiune – System_Alert_Window – trebuia să fie acordată manual de către utilizator, dar cu apariția unor aplicații precum Facebook Messenger și altele care folosesc ferestre pop-up de pe ecran, Google acordă acest lucru prin Mod implicit.

Deși vulnerabilitatea, dacă este exploatată, poate duce la un atac de tip ransomware sau adware cu drepturi depline, nu va fi ușor de inițiat pentru un hacker.

Această permisiune este responsabilă pentru 74% din ransomware, 57% din atacurile adware și 14% din atacurile malware bancare pe dispozitivele Android.

Toate aplicațiile pe care le descărcați din Magazinul Play sunt scanate pentru coduri și macrocomenzi rău intenționate. Deci, atacatorul va trebui să ocolească Sistemul de securitate încorporat Google pentru a obține intrarea în magazinul de aplicații.

Google și-a actualizat recent și sistemul de operare mobil cu un strat suplimentar de securitate care scanează prin toate aplicațiile care sunt descărcate pe dispozitiv prin Magazinul Play.

Utilizarea Android este sigură chiar acum?

Aplicațiile rău intenționate care sunt descărcate din Magazinul Play obțin automat cele două permisiuni menționate mai sus, ceea ce permite unui atacator să vă dăuneze dispozitivul în următoarele moduri:

• Invisible Grid Attack: atacatorul trage peste o suprapunere invizibilă pe dispozitiv, permițându-i să înregistreze apăsările de taste.
• Furarea PIN-ului dispozitivului și operarea acestuia în fundal chiar și atunci când ecranul este oprit.
• Injectarea de adware în dispozitiv.
• Explorarea web și phishing pe furiș.

Cercetătorii au contactat Google cu privire la vulnerabilitățile găsite și au confirmat că, deși compania a implementat remedieri, acestea nu sunt sigure.

Actualizarea dezactivează suprapunerile, ceea ce previne atacul invizibil al grilei, dar Clickjacking este încă o posibilitate, deoarece aceste permisiuni pot fi deblocate de o aplicație rău intenționată folosind metoda de deblocare a telefonului chiar și atunci când ecranul este întors oprit.

Tastatura Google a primit, de asemenea, o actualizare care nu împiedică înregistrarea tastelor, dar asigură că parolele nu sunt scurs ca ori de câte ori introduceți valoare într-un câmp de parolă, acum tastatura înregistrează parolele ca un „punct” în loc de caracter.

Dar există și o cale de a ocoli acest lucru, care poate fi exploatată de atacatori.

„Deoarece este posibil să enumerați widget-urile și codurile lor hash care sunt concepute pentru a fi pseudo-unice, codurile hash sunt suficiente pentru a determina ce buton al tastaturii a fost de fapt făcut clic de către utilizator,” cercetătorii Evidențiat.

Citește și: 13 caracteristici interesante viitoare pentru Android, prezentate de Google.

Toate vulnerabilitățile pe care le-a descoperit cercetările sunt încă predispuse la un atac, chiar dacă cea mai recentă versiune de Android a primit un patch de securitate pe 5 mai.

Cercetătorii au trimis o aplicație la Magazinul Google Play care necesită cele două menționate mai sus permisiunile și a arătat clar intenții rău intenționate, dar a fost aprobat și este încă disponibil pe Play Magazin. Acest lucru arată că securitatea Magazinului Play nu funcționează chiar atât de bine.

Care este cel mai bun pariu pentru a fi în siguranță?

Verificarea și dezactivarea manuală a ambelor permisiuni pentru orice aplicație de încredere care are acces la una sau la ambele este cel mai bun pariu

Acesta este modul în care puteți verifica ce aplicații au acces la aceste două permisiuni „speciale” pe dispozitivul dvs.

• Android Nougat: „desenați deasupra” – Setări –> Aplicații –> „Simbol roată (dreapta sus) –> Acces special –> Desenați peste alte aplicații
  „a11y”: Setări –> Accesibilitate –> Servicii: verificați ce aplicații necesită a11y.
• Android Marshmallow: „desenează deasupra” – Setări –> Aplicații –> „Simbol roată” (dreapta sus) –> Desenează peste alte aplicații.
  a11y: Setări → Accesibilitate → Servicii: verificați ce aplicații necesită a11y.
• Android Lollipop:„desenați deasupra” – Setări –> Aplicații –> faceți clic pe aplicația individuală și căutați „desenați peste alte aplicații”
  a11y: Setări –> Accesibilitate –> Servicii: verificați ce aplicații necesită a11y.

Google va oferi noi actualizări de securitate pentru a rezolva problemele găsite de cercetători.

Citește și: Iată cum să eliminați ransomware de pe telefon.

În timp ce câteva dintre aceste vulnerabilități vor fi remediate prin următoarele actualizări, problemele legate de permisiunea „desenează deasupra” vor rămâne până la lansarea Android O.

Riscurile de securitate pe internet cresc la scară masivă și, în prezent, singura modalitate de a vă proteja dispozitivul este să instalați un software antivirus de încredere și să fiți un vigilent.

Ultima actualizare pe 03 februarie 2022

Articolul de mai sus poate conține link-uri afiliate care ajută la sprijinirea Guiding Tech. Cu toate acestea, nu afectează integritatea noastră editorială. Conținutul rămâne imparțial și autentic.