גלימה ופגיון מנצלים: מה שאתה צריך לדעת

ניצול אנדרואיד חדש נחשף בשם Cloak & Dagger, ובאמת לשמו הוא מתאר דרכים בהן אפליקציות בכוונה לא נכונה יכולות לנצל שתי הרשאות אנדרואיד כדי לגנוב הקשות ולהערות משתמשים לחשוף מידע אישי.

אבל האם זה מסוכן? בואו נשבר את זה במהירות.

מה זה גלימה ופגיון?

Cloak & Dagger הוא השם לשילוב של שתי הרשאות אנדרואיד ניתנות לניצול, שכאשר משתמשים בהן באופן עצמאי או בנפרד באמצעות אפליקציה בעלת כוונה לא טובה, יכולות להיות השלכות קשה.

זה פורסם כהוכחת מושג על ידי צוות בן ארבעה אנשים במכון הטכנולוגי של ג'ורג'יה ואוניברסיטת קליפורניה, סנטה ברברה.

זה לא ניצול פעיל, ועד היום לא היו ידועים בו שימושים ציבוריים.

איך זה עובד?

לדברי הצוות, Cloak & Dagger מנצלים שתי הרשאות אנדרואיד - SYSTEM_ALERT_WINDOW ("לצייר למעלה") ו- BIND_ACCESSIBILITY_SERVICE ("a11y") - שכאשר עובדים יחד או בנפרד, מאפשרים לאפליקציה "להאזין". וגם לגנוב קלט טקסט כגון סיסמאות, מספרי אימות דו-גורמיים או נתונים אישיים.

Cloak & Dagger הם סוג חדש של התקפות פוטנציאליות המשפיעות על מכשירי אנדרואיד. התקפות אלה מאפשרות לאפליקציה זדונית לשלוט לחלוטין על לולאת המשוב של ממשק המשתמש ולהשתלט על המכשיר - מבלי לתת למשתמש אפשרות לשים לב לפעילות הזדונית. התקפות אלה דורשות רק שתי הרשאות שבמקרה שהאפליקציה מותקנת מחנות Play, המשתמש אינו צריך להעניק במפורש ועבורן היא אפילו לא מקבלת הודעה על כך. מחקר המשתמשים שלנו מצביע על כך שההתקפות הללו הן מעשיות.

ההרשאה "לצייר על הדף" מכונה תכונת שכבת-על של אנדרואיד ומשמשת ביישומים רבים כמו פייסבוק מסנג'ר ותכונה רב-חלון משלה של סמסונג כדי לאפשר "חלונות" שניתן למזער ולהזיז אותם על גבי אפליקציות אחרות.

איך עובד המנצל?

מכיוון ששתי ההרשאות אינן חלק ממערכת מתן ההרשאות המפורשת של אנדרואיד שהחלה ב- Android 6.0 Marshmallow, כאשר הורדת אפליקציה זדונית, האפליקציה יכולה להעניק אוטומטית את ההרשאה "לצייר למעלה".

ברגע שזה יקרה, האפליקציה, ברגע שהיא תיפתח, יכולה ליצור שכבת-על על גבי אפליקציה ידועה, כמו פייסבוק, כדי "להזמין" קלט כמו סיסמאות. זה יכול גם כיסוי על גבי מקלדת אנדרואיד, לאסוף את כל הטקסט שהוגש.

הרשאת הנגישות קשה מעט יותר לאלץ את המשתמש להפעיל, אך הצוות אומר כי הוכחת הרעיון שלו השתמשה בהיתר שכבת העל כדי להערים על המשתמשים להפעיל אותו. לאחר שתיהן מופעלות, אפליקציית "מצב אלוהים" יכולה לגנוב נתונים מכל אפליקציה המשמשת בטלפון.

כולם מושפעים

Cloak & Dagger משפיעים על כל הגרסאות של אנדרואיד, לפי הצוות, כולל Android 5.0, 6.0 ו- 7.0, עד המהדורה האחרונה של Android 7.1.2.

אנדרואיד 7.0 ומעלה מקשה על חלק מהניצולים שכבת העל לעבוד, אך עדיין איזו המצאה יכולה לעקוף אותה.

אתה צריך לדאוג?

נכון לעכשיו, אין אפליקציות ידועות המנצלות את ההרשאות הללו למטרות זדוניות, אם כי כעת כשהן פומביות, הדבר עשוי להשתנות. הצוות פרסם את המחקר בכדי להכריח את ידה של גוגל לשפר את החוויה, מכיוון שבניגוד לפגיעויות אחרות באנדרואיד, עלולות אלה מנצלות פגמים בעיצוב בהרשאות עצמן, ולא בחורים או באגים בתוכנה.

מה אתה יכול לעשות כדי להגן על עצמך?

זו לא תהיה בעיה עבורך אם אתה מקפיד על היישומים שבהם אתה משתמש.

הרבה נוצרים מפגמי האבטחה של אנדרואיד, אך Cloak & Dagger אינם דבר שאתה צריך לדאוג אליו כל עוד אתה מקפיד על מתן הרשאות שכבת-על.

בכדי להפחית את ההשפעות הפוטנציאליות של Cloak & Dagger, כדאי לבדוק אילו אפליקציות יכולות ליצור שכבות-על על גבי מערכת האנדרואיד שלכם. ברוב הגרסאות של אנדרואיד, הנה איך לעשות זאת:

1. פתח את הגדרות Android.
2. גלול מטה והקש על אפליקציות.
3. הקש על סמל התפריט או Cog.
4. מצא ולחץ על גישה מיוחדת. זה בדרך כלל תחת הכותרת "מתקדם".
5. הקש על צייר מעל אפליקציות אחרות. אלה האפליקציות שיכולות ליצור שכבות-על באמצעות ההרשאה שלעיל.
6. השבת כל אפליקציה שאינך מכיר.

עוד: כיצד לכבות את כיסוי המסך ב- Galaxy S8

אל תיבהל!

ברצינות, זה לא עניין גדול אם מקפידים על היישומים שאתה מוריד, מה גם שגוגל סורקת כעת 50 מיליארד אפליקציות אחר תוכנות זדוניות מדי יום באמצעות מערכת ה- Play Protect שלה.

יש לקוות שגוגל תטפל בנושא זה בפומבי או לפחות תביא הבהרה לגבי מה היא מתכוונת לעשות עם שכבות על של אפליקציות. אנדרואיד O צריך לבטל את הבעיה הזו לחלוטין על ידי השבה מחדש של בעיית הכיסוי עם ממשק API חדש, אך לא ברור כיצד או אם גוגל מתכננת לטפל בדאגה בגירסאות קודמות.