Nie masz Androida Oreo? Uważaj na złośliwe „tosty” na ekranie
Badacze z Palo Alto Networks Unit 42 przedstawiają kolejny atakna użytkowników Androida, który zagraża użytkownikom wszystkichwersji tego systemu poza najnowszą. Odkryta przez nich technikapozwala na wyświetlanie fałszywych ekranów aplikacji, ukrywającychto co rzeczywiście się dzieje, a mających nakłonić użytkownikado dotknięcia przycisku OK – i wyrażenia zgody na instalacjęzłośliwej aplikacji czy podniesienie uprawnień.
W teorii Android chroni przed takimi atakami. Po pierwsze,uzłośliwione aplikacje muszą przejść przez filtry sklepu GooglePlay (co wcale nie jest łatwe) lub też napastnik musi znaleźćsposób by nakłonić ofiarę do instalacji oprogramowania spozasklepu. Gdy aplikacja znajdzie się już na urządzeniu, musi uzyskaćod użytkownika uprawnienie do wyświetlania się nad innymiaplikacjami (Draw over other apps).
Niestety jednak jest luka, którą można wykorzystać do obejściatego zabezpieczenia. Chodzi o tzw. tosty (Toasts),tj. niewielkie wyskakujące widoki, zawierające szybką wiadomośćdla użytkownika. Po pierwsze, takie tosty nie są ograniczane przezwspomniane wyżej uprawnienie, po drugie okazało się, że możnastworzyć spersonalizowany widok takiego powiadomienia, także taki,który przesłoni cały ekran i będzie funkcjonalnym jegoodpowiednikiem.
Odkrycie ekspertów z Unit 42 bazuje na pracyCloak and Dagger: From Two Permissions to Complete Control of theUI Feedback Loop, gdzie dokładnie przebadano możliwościoferowane przez nadużycie uprawnień SYSTEM_ALERT_WINDOW iBIND_ACCESIBILITY_SERVICE – pokazano tam, jak całkowicie przejąćza ich pomocą kontrolę nad pętlą sprzężenia zwrotnegointerfejsu użytkownika, modyfikując to co widzi, wstrzykującfałszywe dane, a wszystko to przy zachowaniu oczekiwanychdoświadczeń i niewzbudzaniu podejrzeń.
Jak się zabezpieczyć?
Jak wspominaliśmy, na atak „tostem” podatne są wszystkiewersje Androida za wyjątkiem najnowszej 8.0 Oreo, której przecieżnikt jeszcze prawie nie ma. Na szczęście Google załatało już tęlukę, oznaczoną jako CVE-2017-0752) we wrześniowych biuletynachbezpieczeństwa (2017-09-01patch level) dla Androida w wersjach od 4.4.4 do 7.1.2.
Jeśli korzystacie z Lineage OS, niezależnej dystrybucjiAndroida, to ostatnie jej kompilacje z 8 września zawierająwspomniane biuletyny. W przypadku pozostałych urządzeń, niewspieranych bezpośrednio przez Google (tj. Nexusów i Pixeli) –wszystko zależy od producenta.
