Cloak and Dagger Android Exploit: ขโมยรหัสผ่านและบันทึกการกดแป้นพิมพ์
เบ็ดเตล็ด / / December 02, 2021
นักวิจัยจากสถาบันเทคโนโลยีจอร์เจียและมหาวิทยาลัยแคลิฟอร์เนีย ซานตา บาร์บารา มี ได้ออกรายงาน ระบุช่องโหว่ต่างๆ ที่พบในระบบปฏิบัติการ Android Lollipop, Marshmallow และ Nougat
นักวิจัยกล่าวว่าแอพที่เป็นอันตรายมีความสามารถในการใช้ประโยชน์จากสองสิทธิ์ใน Play Store — 'draw on top' และ 'accessibility service'
ผู้ใช้อาจถูกโจมตีโดยใช้ช่องโหว่เหล่านี้หรือทั้งสองอย่าง ผู้โจมตีสามารถคลิกแจ็ค บันทึกการกดแป้นพิมพ์ ขโมยรหัส PIN ความปลอดภัยของอุปกรณ์ แทรกแอดแวร์ลงในอุปกรณ์ และยังใช้โทเค็นการตรวจสอบสิทธิ์แบบสองปัจจัยได้อีกด้วย
“Cloak & Dagger เป็นการโจมตีรูปแบบใหม่ที่อาจส่งผลกระทบต่ออุปกรณ์ Android การโจมตีเหล่านี้ทำให้แอปที่เป็นอันตรายสามารถควบคุมลูปคำติชมของ UI ได้อย่างสมบูรณ์และเข้าควบคุมอุปกรณ์ โดยไม่ให้ผู้ใช้มีโอกาสสังเกตเห็นกิจกรรมที่เป็นอันตราย” นักวิจัยตั้งข้อสังเกต
ช่องโหว่นี้เคยถูกเปิดเผยมาก่อนเช่นกัน
เมื่อต้นเดือนนี้เรามี รายงานเกี่ยวกับช่องโหว่ที่ไม่ได้รับการแก้ไขที่คล้ายกัน ในระบบปฏิบัติการ Android ซึ่งจะใช้การอนุญาต 'System_Alert_Window' ที่ใช้ในการ 'วาดด้านบน'
ก่อนหน้านี้ การอนุญาตนี้ — System_Alert_Window — จะต้องได้รับการอนุญาตจากผู้ใช้ด้วยตนเอง แต่ด้วย การถือกำเนิดของแอพเช่น Facebook Messenger และอื่น ๆ ที่ใช้ป๊อปอัปบนหน้าจอ Google อนุญาตโดย ค่าเริ่มต้น.
แม้ว่าช่องโหว่ หากถูกโจมตี อาจนำไปสู่การโจมตีด้วยแรนซัมแวร์หรือแอดแวร์เต็มรูปแบบ แต่ก็ไม่ใช่เรื่องง่ายสำหรับแฮ็กเกอร์ที่จะเริ่มต้น
การอนุญาตนี้รับผิดชอบ 74% ของ แรนซัมแวร์, 57% ของแอดแวร์และ 14% ของมัลแวร์ธนาคารโจมตีบนอุปกรณ์ Android
แอพทั้งหมดที่คุณดาวน์โหลดจาก Play Store จะถูกสแกนหารหัสและมาโครที่เป็นอันตราย ดังนั้นผู้โจมตีจึงต้องหลบเลี่ยง ระบบรักษาความปลอดภัยในตัวของ Google เพื่อเข้าสู่ App Store
Google เพิ่งอัปเดตระบบปฏิบัติการมือถือด้วย an เสริมความปลอดภัยอีกชั้น ที่สแกนผ่านแอพทั้งหมดที่ดาวน์โหลดลงในอุปกรณ์ผ่าน Play Store
การใช้ Android ปลอดภัยหรือไม่?
แอปที่เป็นอันตรายที่ดาวน์โหลดจาก Play Store จะได้รับสิทธิ์สองรายการดังกล่าวโดยอัตโนมัติ ซึ่งช่วยให้ผู้โจมตีทำอันตรายอุปกรณ์ของคุณได้ด้วยวิธีต่อไปนี้:
- Invisible Grid Attack: ผู้โจมตีจะดึงโอเวอร์เลย์ที่มองไม่เห็นบนอุปกรณ์ ทำให้พวกเขาบันทึกการกดแป้นพิมพ์ได้
- ขโมย PIN ของอุปกรณ์และใช้งานในพื้นหลังแม้ว่าหน้าจอจะปิดอยู่
- การฉีดแอดแวร์เข้าไปในเครื่อง
- สำรวจเว็บและฟิชชิ่งอย่างลับๆ
นักวิจัยได้ติดต่อ Google เกี่ยวกับช่องโหว่ที่พบและยืนยันว่าแม้ว่าบริษัทได้ดำเนินการแก้ไขแล้ว แต่ก็ยังไม่สามารถพิสูจน์ได้
การอัปเดตปิดใช้งานการซ้อนทับซึ่งป้องกันการโจมตีแบบกริดที่มองไม่เห็น แต่ Clickjacking ยังคงเป็นไปได้เช่น แอพที่เป็นอันตรายสามารถปลดล็อคการอนุญาตเหล่านี้ได้โดยใช้วิธีการปลดล็อคโทรศัพท์แม้ในขณะที่หน้าจอเปิดอยู่ ปิด.
แป้นพิมพ์ของ Google ยังได้รับการอัปเดตซึ่งไม่ได้ป้องกันการบันทึกการกดแป้นพิมพ์ แต่ช่วยให้แน่ใจว่ารหัสผ่านไม่ได้ รั่วไหลเมื่อป้อนค่าลงในช่องรหัสผ่านตอนนี้แป้นพิมพ์บันทึกรหัสผ่านเป็น 'จุด' แทนที่จะเป็นของจริง อักขระ.
แต่มีวิธีแก้ไขปัญหานี้เช่นกันซึ่งผู้โจมตีสามารถใช้ประโยชน์ได้
“เนื่องจากสามารถระบุวิดเจ็ตและแฮชโค้ดได้ ซึ่งได้รับการออกแบบมาให้มีเอกลักษณ์เฉพาะตัว แฮชโค้ดก็เพียงพอที่จะระบุได้ว่าผู้ใช้คลิกปุ่มของแป้นพิมพ์ใด” นักวิจัย ชี้ให้เห็น.
ช่องโหว่ทั้งหมดที่การวิจัยพบยังคงมีแนวโน้มที่จะถูกโจมตี แม้ว่า Android เวอร์ชันล่าสุดจะได้รับแพตช์ความปลอดภัยในวันที่ 5 พฤษภาคม
นักวิจัยได้ส่งแอพไปที่ Google Play Store ซึ่งต้องใช้ทั้งสองอย่างที่กล่าวมา อนุญาตและแสดงเจตนาร้ายอย่างชัดเจน แต่ได้รับการอนุมัติและยังคงมีอยู่ใน Play เก็บ. สิ่งนี้แสดงให้เห็นว่าความปลอดภัยของ Play Store นั้นทำงานได้ไม่ดีนัก
ทางออกที่ดีที่สุดที่จะอยู่อย่างปลอดภัยคืออะไร?
การตรวจสอบและปิดใช้งานการอนุญาตทั้งสองนี้ด้วยตนเองสำหรับแอพที่ไม่น่าเชื่อถือที่เข้าถึงอย่างใดอย่างหนึ่งหรือทั้งสองอย่างเป็นทางออกที่ดีที่สุด
นี่คือวิธีตรวจสอบว่าแอปใดมีสิทธิ์เข้าถึง "สิทธิ์พิเศษ" สองรายการในอุปกรณ์ของคุณ
-
Android ตังเม: “วาดด้านบน” – การตั้งค่า -> แอพ -> 'สัญลักษณ์เกียร์ (บนขวา) -> การเข้าถึงพิเศษ -> วาดทับแอพอื่น ๆ
'a11y': การตั้งค่า -> การช่วยสำหรับการเข้าถึง -> บริการ: ตรวจสอบว่าแอปใดต้องใช้ a11y -
Android Marshmallow: “วาดด้านบน” – การตั้งค่า –> แอพ –> “สัญลักษณ์รูปเฟือง” (บนขวา) –> วาดทับแอพอื่นๆ
a11y: การตั้งค่า → การเข้าถึง → บริการ: ตรวจสอบว่าแอพใดที่ต้องใช้ a11y -
Android อมยิ้ม:“วาดด้านบน” – การตั้งค่า –> แอพ –> คลิกที่แต่ละแอพแล้วมองหา “วาดทับแอพอื่น”
a11y: การตั้งค่า -> การช่วยสำหรับการเข้าถึง -> บริการ: ตรวจสอบว่าแอปใดต้องใช้ a11y
Google จะให้การอัปเดตความปลอดภัยเพิ่มเติมเพื่อแก้ไขปัญหาที่พบโดยนักวิจัย
แม้ว่าช่องโหว่เหล่านี้หลายจุดจะได้รับการแก้ไขโดยการอัปเดตต่อไปนี้ แต่ปัญหารอบ ๆ การอนุญาต 'ดึงที่ด้านบน' จะยังคงอยู่จนกว่า Android O จะออก
ความเสี่ยงด้านความปลอดภัยบนอินเทอร์เน็ตกำลังเติบโตอย่างมหาศาล และในปัจจุบัน วิธีเดียวที่จะปกป้องอุปกรณ์ของคุณคือการติดตั้งซอฟต์แวร์ป้องกันไวรัสที่เชื่อถือได้และเป็นศาลเตี้ย