Плащ і кинджал експлуатують: що потрібно знати

Опубліковано новий подвиг Android під назвою Cloak & Dagger, і, правда, його опис, він описує способи, за допомогою яких недоброзичливі програми можуть скористатися двома дозволами Android для крадіжок натискань клавіш і вводять користувачів в оприлюднення особистої інформації.

Але чи небезпечно це? Давайте швидко розбимо його.

Що таке плащ і кинджал?

Cloak & Dagger - це назва комбінації двох дозволених дозволів Android, які при самостійному використанні або окремо через недоброзичливий додаток можуть мати серйозні наслідки.

Він був опублікований як підтвердження концепції чотирма особами з Інституту технологій Джорджії та Каліфорнійського університету, Санта-Барбара.

Це не активний експлуататор, і на сьогоднішній день не було відомо про його публічне використання.

Як це працює?

За словами команди, Cloak & Dagger користується двома дозволами для Android - SYSTEM_ALERT_WINDOW ("малювати зверху") та BIND_ACCESSIBILITY_SERVICE ("a11y") - що, працюючи разом або окремо, дозволяють додатку "слухати" а також вкрасти введення тексту, наприклад паролі, двофакторні автентифікаційні номери або особисті дані.

Cloak & Dagger - це новий клас потенційних атак, що впливають на пристрої Android. Ці атаки дозволяють шкідливому додатку повністю контролювати цикл зворотного зв’язку з користувальницьким інтерфейсом та перебирати пристрій - не даючи користувачеві шансу помітити шкідливу діяльність. Ці атаки вимагають лише двох дозволів, що у випадку, якщо додаток встановлено з Play Store, користувачеві не потрібно явно надавати і про що вона навіть не повідомляється. Наше дослідження користувачів показує, що ці атаки практичні.

Дозвіл "зверху зверху" відомий як функція накладання Android, і він використовується багатьма програмами, такими як Facebook Messenger та власна функція Multi Window від Samsung, щоб увімкнути "вікна", які можна мінімізувати та переміщувати поверх інших додатків.

Як працює подвиг?

Оскільки обидва дозволи не є частиною системи надання явного дозволу Android, яка почалася в Android 6.0 Marshmallow, коли завантажується шкідливий додаток, програма може автоматично надати дозвіл "намалювати зверху".

Як тільки це станеться, щойно відкритий додаток може створити накладку поверх відомого додатка, як-от Facebook, для «фіш-введення», як паролів. Він також може накладати поверх клавіатури Android, збираючи весь текст, що вводиться.

Дозвіл на доступність трохи складніше змусити користувача включити, але команда стверджує, що його доказ концепції використовував дозвіл на накладення, щоб обманути користувачів активувати його. Після того, як обидва ввімкнуті, додаток «режим бога» може потенційно вкрасти дані з будь-якого додатка, що використовується в телефоні.

Усі страждають

Команда Cloak & Dagger впливає на всі версії Android, за даними команди, включаючи Android 5.0, 6.0 та 7.0, до останнього випуску Android 7.1.2.

Android 7.0 і вище ускладнює роботу над деякими накладками, але деякі винахідливості все-таки можуть обійти його.

Чи варто хвилюватися?

Наразі невідомі додатки, які скористаються цими дозволами для зловмисних цілей, але тепер, коли вони є загальнодоступними, це може змінитися. Команда опублікувала дослідження, щоб змусити руку Google покращити досвід роботи, оскільки, на відміну від інших уразливих версій Android, ці подвиги використовують переваги дизайнерських недоліків у самих дозволах, а не дір або помилок у програмному забезпеченні.

Що ви можете зробити, щоб захистити себе?

Це не стане проблемою для вас, якщо ви будете обережні з програмами, якими ви користуєтесь.

Багато хто часто має недоліки безпеки Android, але плащ і кинджал - це не те, про що потрібно хвилюватися, поки ви обережні у наданні дозволів на накладення.

Щоб пом'якшити потенційні ефекти Cloak & Dagger, корисно переглянути, які програми можуть створювати накладки поверх вашої системи Android. У більшості версій Android, ось як це зробити:

1. Відкрийте Налаштування Android.
2. Прокрутіть вниз та торкніться пунктів Програми.
3. Торкніться значка меню або зубчика.
4. Знайдіть та торкніться спеціального доступу. Зазвичай це під заголовком "Розширені".
5. Торкніться опції Малюнок над іншими програмами. Це програми, які можуть створювати накладки, використовуючи вищевказаний дозвіл.
6. Вимкніть будь-які додатки, які ви не впізнаєте.

Докладніше: Як вимкнути накладку екрана на Galaxy S8

Не панікуйте!

Якщо серйозно, це не є великою справою, якщо ви обережно ставитеся до завантажуваних програм, тим більше, що Google щодня сканує 50 мільярдів додатків для зловмисного програмного забезпечення за допомогою своєї системи Play Protect.

Сподіваємось, Google вирішить цю проблему публічно або принаймні надасть уточнення щодо того, що вона має намір робити із накладками додатків. Android O повинна повністю усунути цю проблему, переформулювавши проблему з накладанням нового API, але незрозуміло, як або якщо Google планує вирішити проблему на попередніх версіях.