Пользователям Android угрожают серьезные оверлей-атаки - Новости и Обзоры
интернет-защита
все антивирусы в одном приложении

Пользователям Android угрожают серьезные оверлей-атаки

Исследовательская команда Unit42 из компании Palo Alto Networks обнаружила серьезную уязвимость в операционной системе Android, которая позволяет злоумышленникам взламывать смартфоны с использованием всплывающих уведомлений.

Опасность угрожает пользователям всех версий операционной системы за исключением новейшей Oreo 8.0, поэтому исследователи рекомендуют как можно скорее установить сентябрьские патчи, доступные в Android Security Bulletin.

Впервые о похожей проблеме рассказали специалисты Калифорнийского университета Санта-Барбары и Технологического института Джорджии в мае 2017 года. Метод атаки они назвали «Плащ и кинжал», а подробности своей работы опубликовали на собственном сайте. Cloak and Dagger позволяет злоумышленникам перехватывать управление смартфоном и получать в свое распоряжение пароли, PIN-коды, телефонные номера, переписку и другую приватную информацию.

Атака Cloak and Dagger проводится в два шага. Сначала пользователь, скачав официальное приложение из Google Play, сам того не подозревая, дает системе разрешение выводить интерфейс этого приложения поверх любого другого. Это становится возможно за счет того, что системе даже не требуется согласие пользователя на доступ к функциям SYSTEM_ALERT_WINDOW — Google Play дает это разрешение по умолчанию, так как стремится сделать пользование смартфоном более простым и удобным. Это разрешение требуется, например, для Facebook Messenger, Skype и Twitter.

Но разрешение SYSTEM_ALERT_WINDOW может также создавать невидимый слой, который будет накладываться, например, на клавиатуру Android-устройства и позволит увидеть все, что печатает пользователь. Или же оно может выводить окна, которые будут закрывать большую часть экрана, кроме кнопки OK. При этом пользователь даже не заметит, что что-то не так: он будет уверен, что нажимает, например, кнопку проигрывания видео.

Под прикрытием SYSTEM_ALERT_WINDOW проходит второй шаг атаки — разрешение на доступ к ACCESSIBILITY_SERVICE (A11Y), или специальным возможностям, которые разработаны для людей с нарушениями слуха или зрения. Это разрешение дает возможность озвучивать происходящее на экране, а также давать команды голосом, но в данном случае важно то, что A11Y также позволяет программе, получившей разрешение, открывать окна и нажимать кнопки от лица пользователя. Доступ к специальным возможностям предоставляет злоумышленникам почти неограниченные возможности. Они могут перехватывать нажатия клавиш, незаметно устанавливать шпионские приложения, которые предоставят доступ к чему угодно, а также блокировать устройство с целью выкупа. Сделать это атакующие могут даже при выключенном экране.

Новое исследование компании Palo Alto Networks показало, что атаку можно упростить, и в этом случае она потребует всего одно разрешение, BIND_ACCESSIBILITY_SERVICE. Вместо разрешения SYSTEM_ALERT_WINDOW, которое выдается по умолчанию только программам, скачанным из GooglePlay, используются всплывающие окна TYPE_TOAST, для доступа к которым приложениям не нужны специальные разрешения. Как правило, их используют, чтобы показать какое-то быстрое сообщение поверх других приложений. Например, уведомление о том, что неотправленное письмо было сохранено как черновик.

Команда Unit42 установила, что использование окон типа Toast позволяет столь же успешно перекрывать интерфейс приложений, не запрашивая при этом разрешения SYSTEM_ALERT_WINDOW. Такая атака совершается в один шаг: какое-то приложение перекрывает своим интерфейсом окно другого приложения, которое, в свою очередь, запрашивает права доступа к ACCESSIBILITY_SERVICE или правам администратора на устройстве. Поскольку первое приложение, перекрывшее интерфейс второго, просит пользователя сделать что-то абсолютно невинное — скажем, нажать ОК для продолжения, пользователь нажимает на кнопку, тем самым давая второму приложению дополнительные привилегии на устройстве.

В Palo Alto Networks сообщили об этой уязвимости Google 30 мая. IT-гигант провел проверку, подтвердил существование уязвимости и 5 сентября исправил проблему, выпустив заплатку. Для Android-устройств версии 8.0 проблема  устранена изначально, а для версий 4–7 можно установить патч, входящий в пакет сентябрьских обновлений. Специалисты также рекомендуют периодически проверять, к чему имеют доступ приложения на устройстве, и отзывать ненужные разрешения.

Сообщество Вконткте
обзоры антивирусов и программ безопасности
Комментарии и отзывы
Добавляя комментарий, ознакомьтесь с Правилами сообщества
Система Orphus