Cloak and Dagger Android Exploit: Kráde heslo a zaznamenáva stlačenia klávesov

Výskumníci z Georgia Institute of Technology a University of California, Santa Barbara, majú zverejnil správu s uvedením niekoľkých zraniteľností nájdených v operačných systémoch Android Lollipop, Marshmallow a Nougat.

Podľa výskumníkov majú škodlivé aplikácie schopnosť využívať dve povolenia v Obchode Play – „kresli navrch“ a „službu dostupnosti“.

Používatelia môžu byť napadnutí pomocou jednej z týchto zraniteľností alebo oboch. Útočník môže clickjack, zaznamenávať stlačenia klávesov, kradnúť bezpečnostný PIN zariadenia, vkladať do zariadenia adware a tiež pariť dvojfaktorové autentifikačné tokeny.

„Cloak & Dagger je nová trieda potenciálnych útokov ovplyvňujúcich zariadenia so systémom Android. Tieto útoky umožňujú škodlivej aplikácii úplne ovládať slučku spätnej väzby používateľského rozhrania a prevziať kontrolu nad zariadením bez toho, aby používateľ dostal možnosť všimnúť si škodlivú aktivitu,“ uviedli vedci.

Táto chyba zabezpečenia bola odhalená už skôr

Začiatkom tohto mesiaca sme mali informovali o podobnej neopravenej zraniteľnosti v operačnom systéme Android, ktorý by používal povolenie „System_Alert_Window“ používané na „kreslenie navrch“.

Predtým toto povolenie — System_Alert_Window — musel udeliť manuálne používateľ, ale Príchod aplikácií, ako je Facebook Messenger a ďalšie, ktoré používajú kontextové okná na obrazovke, spoločnosť Google udeľuje predvolená.

Hoci táto zraniteľnosť, ak je zneužitá, môže viesť k plnohodnotnému útoku ransomvéru alebo adwaru, pre hackera nebude ľahké ju spustiť.

Toto povolenie je zodpovedné za 74 %. ransomvér, 57 % advérových a 14 % bankových malvérových útokov na zariadenia so systémom Android.

Všetky aplikácie, ktoré si stiahnete z Obchodu Play, sú kontrolované na prítomnosť škodlivých kódov a makier. Takže útočník bude musieť obísť Vstavaný bezpečnostný systém Google na získanie vstupu do obchodu s aplikáciami.

Spoločnosť Google nedávno aktualizovala aj svoj mobilný operačný systém pomocou dodatočnú vrstvu zabezpečenia ktorý prehľadá všetky aplikácie, ktoré sa sťahujú do zariadenia cez Obchod Play.

Je teraz používanie Androidu bezpečné?

Škodlivé aplikácie, ktoré sú stiahnuté z Obchodu Play, získavajú dve vyššie uvedené povolenia automaticky, čo útočníkovi umožňuje poškodiť vaše zariadenie nasledujúcimi spôsobmi:

• Invisible Grid Attack: Útočník prekreslí cez neviditeľné prekrytie na zariadenie, čo mu umožní zaznamenávať stlačenia klávesov.
• Odcudzenie PIN zariadenia a jeho ovládanie na pozadí aj pri vypnutej obrazovke.
• Vloženie adwaru do zariadenia.
• Tajné skúmanie webu a phishing.

Výskumníci kontaktovali Google ohľadom zistených zraniteľností a potvrdili, že hoci spoločnosť implementovala opravy, nie sú spoľahlivé.

Aktualizácia deaktivuje prekrytia, čo zabraňuje neviditeľnému mriežkovému útoku, ale Clickjacking je stále možnosťou tieto povolenia môže odomknúť škodlivá aplikácia pomocou metódy odomykania telefónu, aj keď je obrazovka otočená vypnuté.

Klávesnica Google tiež dostala aktualizáciu, ktorá nebráni zaznamenávaniu stlačenia klávesov, ale zaisťuje, že heslá nie sú unikli pri každom zadávaní hodnoty do poľa hesla, teraz klávesnica zaznamenáva heslá ako „bodka“ namiesto skutočných charakter.

Existuje však spôsob, ako to obísť, čo môžu útočníci zneužiť.

„Keďže je možné vymenovať widgety a ich hashkódy, ktoré sú navrhnuté tak, aby boli pseudojedinečné, hashcodes postačujú na to, aby určili, na ktoré tlačidlo klávesnice používateľ skutočne klikol,“ vedci poukázal.

Všetky zraniteľnosti, ktoré výskum zistil, sú stále náchylné na útok, aj keď najnovšia verzia Androidu dostala bezpečnostnú opravu 5. mája.

Výskumníci odoslali aplikáciu do obchodu Google Play, ktorá vyžadovala dve vyššie uvedené povolenia a jasne vykazovala zlý úmysel, ale bola schválená a je stále k dispozícii v službe Play Obchod. To ukazuje, že zabezpečenie Obchodu Play v skutočnosti nefunguje tak dobre.

Aká je najlepšia stávka, aby ste zostali v bezpečí?

Najlepšou možnosťou je ručná kontrola a zakázanie oboch týchto povolení pre akúkoľvek nedôveryhodnú aplikáciu, ktorá má prístup k jednému alebo obom z nich.

Takto môžete skontrolovať, ktoré aplikácie majú na vašom zariadení prístup k týmto dvom „špeciálnym“ povoleniam.

• Android Nougat: “kresliť navrch“ – Nastavenia –> Aplikácie –> „Symbol ozubeného kolieska (vpravo hore) –> Špeciálny prístup –> Kresliť cez iné aplikácie
  „a11y“: Nastavenia –> Prístupnosť –> Služby: skontrolujte, ktoré aplikácie vyžadujú a11y.
• Android Marshmallow: „kresliť navrch“ – Nastavenia –> Aplikácie –> „Symbol ozubeného kolieska“ (vpravo hore) –> Kresliť cez iné aplikácie.
  a11y: Nastavenia → Prístupnosť → Služby: skontrolujte, ktoré aplikácie vyžadujú a11y.
• Android Lollipop:„kresliť navrch“ – Nastavenia –> Aplikácie –> kliknite na individuálnu aplikáciu a vyhľadajte „kresliť cez iné aplikácie“
  a11y: Nastavenia –> Prístupnosť –> Služby: skontrolujte, ktoré aplikácie vyžadujú a11y.

Google poskytne ďalšie aktualizácie zabezpečenia na vyriešenie problémov, ktoré výskumníci zistili.

Zatiaľ čo niekoľko z týchto zraniteľností bude opravených nasledujúcimi aktualizáciami, problémy týkajúce sa povolenia „kresliť navrch“ zostanú až do vydania systému Android O.

Bezpečnostné riziká na internete rastú v masívnom meradle a v súčasnosti je jediným spôsobom, ako chrániť svoje zariadenie, nainštalovať dôveryhodný antivírusový softvér a byť ostražitý.