Eksplorator androidów z maskami i sztyletami: kradnie hasło i rejestruje naciśnięcia klawiszy

Naukowcy z Georgia Institute of Technology i University of California w Santa Barbara opublikowali raport zawierający kilka luk w zabezpieczeniach systemów operacyjnych Android Lollipop, Marshmallow i Nougat.

Według naukowców złośliwe aplikacje mogą wykorzystywać dwa uprawnienia w Sklepie Play - „remis na górze” i „usługę dostępności”.

Użytkownicy mogą zostać zaatakowani przy użyciu jednej z tych luk lub obu. Atakujący może klikać, rejestrować naciśnięcia klawiszy, kraść zabezpieczający kod PIN urządzenia, wstawiać adware do urządzenia, a także tokeny uwierzytelniające dwuskładnikowe.

Przeczytaj także: 5 porad, jak zapobiegać urządzeniu z Androidem przed hitem Ransomware.

„Cloak & Dagger to nowa klasa potencjalnych ataków na urządzenia z Androidem. Ataki te umożliwiają złośliwej aplikacji całkowitą kontrolę pętli sprzężenia zwrotnego interfejsu użytkownika i przejmowanie urządzenia, nie dając użytkownikowi możliwości zauważenia szkodliwej aktywności - zauważyli naukowcy.

Ta luka została ujawniona wcześniej

Wcześniej w tym miesiącu informowaliśmy o podobnej, niestabilnej luce w systemie operacyjnym Android, która używałaby uprawnienia „System_Alert_Window” używanego do „rysowania na górze”.

Wcześniej to uprawnienie - System_Alert_Window - musiało zostać przyznane ręcznie przez użytkownika, ale wraz z pojawieniem się aplikacji takich jak Facebook Messenger i innych, które używają wyskakujących okienek na ekranie, Google przyznaje go domyślnie.

Mimo że wykorzystana luka może doprowadzić do pełnego ataku ransomware lub adware, zainicjowanie hakera nie będzie łatwe.

To pozwolenie jest odpowiedzialne za 74% oprogramowania ransomware, 57% adware i 14% ataków złośliwego oprogramowania bankowego na urządzenia z Androidem.

Wszystkie aplikacje pobierane ze Sklepu Play są skanowane w poszukiwaniu złośliwych kodów i makr. Osoba atakująca będzie musiała obejść wbudowany system zabezpieczeń Google, aby uzyskać dostęp do sklepu z aplikacjami.

Google niedawno zaktualizował swój mobilny system operacyjny o dodatkową warstwę zabezpieczeń, która skanuje wszystkie aplikacje pobierane na urządzenie za pośrednictwem Sklepu Play.

Czy korzystanie z Android Safe Right Now?

Złośliwe aplikacje pobrane ze Sklepu Play automatycznie zyskują dwa wyżej wymienione uprawnienia, co pozwala osobie atakującej zaszkodzić urządzeniu w następujący sposób:

• Invisible Grid Attack: Atakujący wciąga niewidzialną nakładkę na urządzenie, umożliwiając im rejestrowanie naciśnięć klawiszy.
• Kradzież PIN urządzenia i obsługa go w tle, nawet gdy ekran jest wyłączony.
• Wstrzykiwanie adware do urządzenia.
• Poznawanie sieci i ukrywanie phishingu.

Naukowcy skontaktowali się z Google w sprawie wykrytych luk i potwierdzili, że mimo że firma wdrożyła poprawki, nie są one odporne na głupstwa.

Aktualizacja wyłącza nakładki, co zapobiega niewidzialnemu atakowi na siatkę, ale klikanie jest nadal możliwe, ponieważ te uprawnienia mogą zostać odblokowane przez złośliwą aplikację przy użyciu metody odblokowania telefonu, nawet gdy ekran jest wyłączony.

Klawiatura Google otrzymała również aktualizację, która nie zapobiega rejestrowaniu naciśnięć klawiszy, ale zapewnia, że ​​hasła nie wyciekają, gdy wprowadzanie wartości do pola hasła, teraz klawiatura rejestruje hasła jako „kropkę” zamiast rzeczywistego znaku.

Ale jest też sposób na obejście tego problemu, który może zostać wykorzystany przez atakujących.

„Ponieważ możliwe jest wyliczenie widżetów i ich skrótów, które są zaprojektowane tak, aby były pseudo-unikalne, hashcody są wystarczające, aby określić, który przycisk klawiatury został rzeczywiście kliknięty przez użytkownika” - zauważyli naukowcy.

Przeczytaj także: 13 fajnych nadchodzących funkcji Androida zaprezentowanych przez Google.

Wszystkie luki, które odkryły badania, są nadal podatne na atak, mimo że najnowsza wersja Androida otrzymała poprawkę bezpieczeństwa 5 maja.

Naukowcy przesłali aplikację do sklepu Google Play, która wymagała dwóch wyżej wymienionych uprawnień i wyraźnie wykazali złośliwe zamiary, ale została ona zatwierdzona i jest nadal dostępna w Sklepie Play. To pokazuje, że bezpieczeństwo Play Store nie działa tak dobrze.

Jaki jest najlepszy zakład na bezpieczeństwo?

Sprawdzanie i wyłączanie obu tych uprawnień ręcznie dla każdej niezaufanej aplikacji, która ma dostęp do jednego lub obu, jest najlepszym wyborem

W ten sposób można sprawdzić, które aplikacje mają dostęp do tych dwóch „specjalnych” uprawnień na urządzeniu.

• Android Nougat: „ rysuj na wierzchu” - Ustawienia -> Aplikacje -> „Symbol biegów (u góry po prawej) -> Specjalny dostęp -> Rysuj nad innymi aplikacjami

  „a11y”: Ustawienia -> Dostępność -> Usługi: sprawdź, które aplikacje wymagają a11y.

• Android Marshmallow: „rysuj na wierzchu” - Ustawienia -> Aplikacje -> „Symbol kół zębatych” (u góry po prawej) -> Rysuj nad innymi aplikacjami.

  a11y: Ustawienia → Dostępność → Usługi: sprawdź, które aplikacje wymagają a11y.

• Android Lollipop: „rysuj na górze” - Ustawienia -> Aplikacje -> kliknij indywidualną aplikację i poszukaj „rysuj nad innymi aplikacjami”

  a11y: Ustawienia -> Dostępność -> Usługi: sprawdź, które aplikacje wymagają a11y.

Google będzie dostarczać kolejne aktualizacje zabezpieczeń, aby rozwiązać problemy znalezione przez naukowców.

Przeczytaj także: Oto jak usunąć Ransomware z telefonu.

Podczas gdy kilka z tych luk zostanie naprawionych przez następujące aktualizacje, problemy związane z zezwoleniem „wyciągnij z góry” pozostaną do momentu zwolnienia Androida O.

Zagrożenia bezpieczeństwa w Internecie rosną na ogromną skalę i obecnie jedynym sposobem ochrony urządzenia jest zainstalowanie zaufanego oprogramowania antywirusowego i bycie czujnym.