Modul în care serviciile de accesibilitate Android pot fi folosite pentru a vă hacki telefonul
Se spune că drumul spre Iad este pavat cu intenții bune. Poți să faci ceva cu scopurile cele mai mari, dar dacă nu ești atent, poate merge oricum groaznic, incredibil de rapid.
O vulnerabilitate a securității în serviciile de accesibilitate Android - descoperită de cercetătorul de securitate SkyCure, Yair Amit - este un exemplu excelent în acest sens. Prin exploatarea unui defect în instrumentul care permite persoanelor cu deficiențe de vedere și celor cu deficiențe de vedere să utilizeze dispozitive Android, un atacator ar putea obține controlul asupra dispozitivului, în procesul de obținere a privilegiilor ridicate și a confiscării accesului la fișierele stocate pe acesta.
Să aruncăm o privire și să aflăm cum puteți opri acest lucru.
Înțelegerea defectului
Exploatarea se bazează pe cercetările anterioare realizate de SkyCure, publicate la conferința RSA din acest an. Cercetarea a explorat modul în care, prin crearea de aplicații care să poată atrage asupra altora și, la rândul său, să lanseze serviciile de accesibilitate integrate (îmbunătățiri ale interfeței cu utilizatorul concepute pentru a ajuta utilizatorii cu dizabilități), puteți introduce diverse tipuri de comportamente maligne, video de mai jos.
Ca dovadă a conceptului, SkyCure a creat un joc bazat pe seria populară de televiziune Rick și Morty, care lansează de fapt un serviciu de accesibilitate rău intenționat, toate fără ca utilizatorul să observe.
În descrierea amenințării inițiale, SkyCure spune că ar putea fi obișnuită “oferiți unui hacker rău intenționat acces nelimitat la malware-ul lor”. O aplicație potențială pentru atac, spune SkyCure, este de a implementa ransomware. De asemenea, ar putea fi folosit pentru a compune e-mailuri corporative și documente prin intermediul dispozitivului utilizatorului, precum și monitorizarea permanentă a activității dispozitivului.
Acest tip de atac are un nume - clickjacking, sau mai puțin a “UI atac de recurs”. OWASP (Proiectul Open Web Security Project) definește clickjacking ca și când “un atacator folosește mai multe straturi transparente sau opace pentru a păcăli un utilizator să facă clic pe un buton sau pe o altă pagină atunci când intenționează să facă clic pe pagina de nivel superior”.
Pornind de la Android Lollipop (5.x), Google a adăugat o soluție care, teoretic, ar fi făcut imposibil acest tip de atac. Modificarea introdusă de Google a însemnat că, dacă un utilizator dorea să activeze serviciile de accesibilitate, butonul OK nu putea fi acoperit de o suprapunere, împiedicând un atacator să-i lanseze prin stealth.
Pentru referință, acesta este aspectul care apare când lansați manual un serviciu de accesibilitate. După cum puteți vedea, Google este foarte explicit cu privire la permisiunile Android necesare Cum funcționează aplicațiile pentru Android și ce ar trebui să vă îngrijească Cum funcționează aplicațiile pentru Android și ce ar trebui să îngrijești aplicațiile Android pentru a declara permisiunile pe care le solicită atunci când le instalează. Puteți să vă protejați confidențialitatea, securitatea și factura telefonului mobil acordând atenție permisiunilor la instalarea aplicațiilor - deși mulți utilizatori ... Citește mai mult. Acest lucru va împiedica mai mulți utilizatori să instaleze servicii de accesibilitate în primul rând.
Cum să învingeți protecția Google
Yair Amit, cu toate acestea, a fost în măsură să găsească un defect în abordarea Google.
“Am fost într-un hotel când mi sa părut că, deși ușa hotelului mi-a blocat cea mai mare parte a holului din afară, era o fereastră care nu blocase vederea. Aceasta a fost epifania mea care ma determinat să cred că dacă ar exista o gaură în suprapunere, butonul OK ar putea fi "mai mult acoperit" și încă accepta o atingere în zona potențial foarte mică care nu a fost acoperită, ocolind astfel noua protecție și continuând să ascundă adevărata intenție din partea utilizatorului.”
Pentru a testa această idee, dezvoltatorul de software SkyCure, Elisha Eshed, a modificat jocul Rick și Morty, folosit în demonstrația originală a conceptului de exploatare. Eshed a creat o gaură mică în suprapunere, care a fost deghizată ca element de joc, dar a fost, de fapt, butonul de confirmare a serviciului de accesibilitate. Când utilizatorul a dat clic pe elementul de joc, serviciul a fost lansat și, împreună cu acesta, toate comportamentele nedorite.
În timp ce exploatarea originală a lucrat împotriva practic tuturor dispozitivelor Android care rulează Android KitKat Este oficial: Nexus 5 și Android 4.4 KitKat sunt aici Este oficial: Nexus 5 și Android 4.4 KitKat sunt aici Nexus 5 este acum în vânzare în Google Play Store și este în desfășurare noul Android KitKat, care va fi lansat și în alte dispozitive "în următoarele săptămâni". Citește mai mult și mai devreme, această abordare crește numărul de dispozitive exploatabile pentru a include pe cele care rulează Android 5.0 Lollipop Android 5.0 Lollipop: Ce este și când veți obține Android 5.0 Lollipop: Ce este și când veți obține Android 5.0 Lollipop este aici, dar numai pe dispozitivele Nexus. Ce anume este nou despre acest sistem de operare și când vă puteți aștepta ca acesta să sosească pe dispozitivul dvs.? Citeste mai mult . În consecință, aproape toate dispozitivele Android active sunt vulnerabile la acest atac. SkyCure estimează că până la 95,4% dintre dispozitivele Android ar putea fi afectate.
Atenuarea împotriva acesteia
În conformitate cu procedurile de divulgare responsabilă Responsabilitate completă sau responsabilă: Cum sunt dezvăluite vulnerabilitățile de securitate Dezvăluirea completă sau responsabilă: Cum sunt descoperite vulnerabilitățile de securitate Vulnerabilitățile de securitate din pachetele software populare sunt descoperite tot timpul, dar cum sunt raportate dezvoltatorilor și cum hackerii învață despre vulnerabilitățile pe care le pot exploata? Citiți mai multe, SkyCure a contactat mai întâi Google înainte de a le publica publicului, pentru a le oferi posibilitatea de a le repara. Echipa de securitate Android a Google a decis să nu remedieze problema și să accepte riscul ca urmare a designului actual.
Pentru a atenua amenințarea, SkyCure recomandă utilizatorilor să ruleze o versiune actualizată a unei soluții mobile de apărare împotriva amenințărilor. Acestea se apără în mod proactiv împotriva amenințărilor, la fel ca un IPS (Sistem de protecție împotriva intruziunilor) sau IDS (Sistem de detecție a intruziunilor). Cu toate acestea, acestea sunt în mod covârșitor destinate utilizatorilor de întreprinderi și sunt cu mult peste mijloacele celor mai mulți utilizatori casnici.
SkyCure recomandă utilizatorilor de acasă să se protejeze prin faptul că asigură descărcarea aplicațiilor numai din surse de încredere Este sigur să instalați aplicații Android din surse necunoscute? Este sigur să instalați aplicații Android din surse necunoscute? Magazinul Google Play nu este singura sursă de aplicații, dar este sigur să căutați în altă parte? Citiți mai multe, cum ar fi Magazin Google Play. De asemenea, recomandă ca dispozitivele să ruleze o versiune actualizată a aplicației Android, deși se acordă procesului fragmentat de ecosistem Android și actualizări bazate pe operatori de transport. De ce nu a actualizat telefonul meu Android? De ce nu a actualizat telefonul meu Android încă? Procesul de actualizare Android este lung și complicat; să o examinăm pentru a afla exact de ce telefonul dvs. Android are atât de mult timp să se actualizeze. Citește mai mult, acest lucru este mai ușor de zis decât de făcut.
Merită remarcat faptul că Marshmallow - cea mai recentă versiune de Android - cere utilizatorilor să creeze manual și în mod specific o suprapunere de sistem prin modificarea permisiunilor pentru acea aplicație. Deși acest tip de vulnerabilitate ar putea afecta dispozitivele care rulează Marshmallow, în realitate acest lucru nu se va întâmpla, deoarece este mult mai dificil de exploatat.
Punerea totul în context
SkyCure a identificat un mod periculos și viabil pentru ca un atacator să domine în mod absolut un dispozitiv Android. În timp ce este înfricoșător, merită să vă reamintim că o mulțime de cărți trebuie să cadă pentru ca un atac bazat pe acesta să funcționeze.
Atacatorul trebuie să facă una din două lucruri. O tactică ar fi implementarea aplicației lor în Magazinul Google Play - la rândul lor, ocolind analizele lor statice extrem de viguroase și procedurile de detectare a amenințărilor. Acest lucru este extrem de puțin probabil. Șase ani de la deschidere și milioane de aplicații ulterioare, Google a devenit extrem de bun la identificarea malware-ului și a software-ului fals. În acest punct, la fel și Apple, deși Microsoft are încă un drum lung de parcurs.
În mod alternativ, atacatorii vor trebui să convingă un utilizator să-și configureze telefonul pentru a accepta software din surse non-oficiale și pentru a instala o aplicație necunoscută. Deoarece este puțin probabil să găsești o audiență mare, va fi necesar ca atacatorii să aleagă o țintă și să le "spargă".
Deși acest lucru va fi în mod inevitabil un coșmar pentru departamentele IT ale companiei, va fi mai puțin o problemă pentru utilizatorii casnici obișnuiți, marea majoritate a căror aplicații provin dintr-o singură sursă oficială - magazinul Google Play.
Credit de imagine: Lacăt rupt de Ingvar Bjork prin Shutterstock
Explorați mai multe despre: Clickjacking, Google Play, Smartphone Security.