Badacze z Palo Alto Networks Unit 42 przedstawiają kolejny atakna użytkowników Androida, który zagraża użytkownikom wszystkichwersji tego systemu poza najnowszą. Odkryta przez nich technikapozwala na wyświetlanie fałszywych ekranów aplikacji, ukrywającychto co rzeczywiście się dzieje, a mających nakłonić użytkownikado dotknięcia przycisku OK – i wyrażenia zgody na instalacjęzłośliwej aplikacji czy podniesienie uprawnień.

bETGvjyZ

W teorii Android chroni przed takimi atakami. Po pierwsze,uzłośliwione aplikacje muszą przejść przez filtry sklepu GooglePlay (co wcale nie jest łatwe) lub też napastnik musi znaleźćsposób by nakłonić ofiarę do instalacji oprogramowania spozasklepu. Gdy aplikacja znajdzie się już na urządzeniu, musi uzyskaćod użytkownika uprawnienie do wyświetlania się nad innymiaplikacjami (Draw over other apps).

Niewinny, standardowy widok „tosta”
Niewinny, standardowy widok „tosta”

Niestety jednak jest luka, którą można wykorzystać do obejściatego zabezpieczenia. Chodzi o tzw. tosty (Toasts),tj. niewielkie wyskakujące widoki, zawierające szybką wiadomośćdla użytkownika. Po pierwsze, takie tosty nie są ograniczane przezwspomniane wyżej uprawnienie, po drugie okazało się, że możnastworzyć spersonalizowany widok takiego powiadomienia, także taki,który przesłoni cały ekran i będzie funkcjonalnym jegoodpowiednikiem.

Sfałszowany „tost” maskuje przycisk interfejsu użytkownika
Sfałszowany „tost” maskuje przycisk interfejsu użytkownika

Odkrycie ekspertów z Unit 42 bazuje na pracyCloak and Dagger: From Two Permissions to Complete Control of theUI Feedback Loop, gdzie dokładnie przebadano możliwościoferowane przez nadużycie uprawnień SYSTEM_ALERT_WINDOW iBIND_ACCESIBILITY_SERVICE – pokazano tam, jak całkowicie przejąćza ich pomocą kontrolę nad pętlą sprzężenia zwrotnegointerfejsu użytkownika, modyfikując to co widzi, wstrzykującfałszywe dane, a wszystko to przy zachowaniu oczekiwanychdoświadczeń i niewzbudzaniu podejrzeń.

bETGvjzb

Jak się zabezpieczyć?

Jak wspominaliśmy, na atak „tostem” podatne są wszystkiewersje Androida za wyjątkiem najnowszej 8.0 Oreo, której przecieżnikt jeszcze prawie nie ma. Na szczęście Google załatało już tęlukę, oznaczoną jako CVE-2017-0752) we wrześniowych biuletynachbezpieczeństwa (2017-09-01patch level) dla Androida w wersjach od 4.4.4 do 7.1.2.

Jeśli korzystacie z Lineage OS, niezależnej dystrybucjiAndroida, to ostatnie jej kompilacje z 8 września zawierająwspomniane biuletyny. W przypadku pozostałych urządzeń, niewspieranych bezpośrednio przez Google (tj. Nexusów i Pixeli) –wszystko zależy od producenta.

Programy

Aktualizacje
Aktualizacje
Nowości
Komentarze (39)
bETGvjzX