È stato svelato un nuovo exploit Android chiamato Mantello e pugnale e, fedele al suo nome, descrive i modi in cui le app malintenzionate possono sfruttare due autorizzazioni Android per rubare sequenze di tasti e indurre gli utenti a divulgare informazioni personali.
Ma è pericoloso? Analizziamolo rapidamente.
Cos'è Cloak & Dagger?
Cloak & Dagger è il nome di una combinazione di due autorizzazioni Android sfruttabili che, se utilizzate indipendentemente o separatamente tramite un'app malintenzionata, possono avere conseguenze disastrose.
È stato pubblicato come a verifica teorica da un team di quattro persone presso il Georgia Institute of Technology e l'Università della California, Santa Barbara.
È non un exploit attivo e fino ad oggi non se ne sono avuti usi pubblici noti.
Come funziona?
Secondo il team, Cloak & Dagger sfrutta due autorizzazioni Android — SYSTEM_ALERT_WINDOW ("disegna in alto") e BIND_ACCESSIBILITY_SERVICE ("a11y") — che, quando lavorando insieme o separatamente, consentono a un'app di "ascoltare" e rubare input di testo come password, numeri di autenticazione a due fattori o dati personali dati.
Cloak & Dagger è una nuova classe di potenziali attacchi che colpiscono i dispositivi Android. Questi attacchi consentono a un'app dannosa di controllare completamente il ciclo di feedback dell'interfaccia utente e assumere il controllo del dispositivo, senza dare all'utente la possibilità di notare l'attività dannosa. Questi attacchi richiedono solo due permessi che, nel caso in cui l'app venga installata dal Play Store, l'utente non deve concedere esplicitamente e per i quali non viene nemmeno avvisato. Il nostro studio sugli utenti indica che questi attacchi sono pratici.
L'autorizzazione "disegna in alto" è nota come funzionalità di sovrapposizione Android ed è utilizzata da molte app come Facebook Messenger e la funzione Multi Window di Samsung per abilitare "finestre" che possono essere ridotte a icona e spostate sopra le altre app.
Come funziona l'exploit?
Perché entrambe le autorizzazioni non fanno parte del sistema di concessione di autorizzazioni esplicite di Android iniziato in Android 6.0 Marshmallow, quando viene scaricata un'app dannosa, l'app può concedere automaticamente il "draw on top" autorizzazione.
Una volta che ciò accade, l'app, una volta aperta, può creare un overlay sopra un'app ben nota, come Facebook, per "phishing" di input come password. Può anche sovrapporsi alla tastiera Android, raccogliendo tutto il testo inserito.
L'autorizzazione di accessibilità è un po' più difficile da costringere un utente ad abilitare, ma il team afferma che la sua prova di concetto ha utilizzato l'autorizzazione di sovrapposizione per indurre gli utenti ad attivarla. Una volta abilitati entrambi, un'app "god mode" può potenzialmente rubare dati da qualsiasi app utilizzata sul telefono.
Tutti ne sono colpiti
Cloak & Dagger interessa tutte le versioni di Android, secondo il team, inclusi Android 5.0, 6.0 e 7.0, fino all'ultima versione di Android 7.1.2.
Android 7.0 e versioni successive lo rendono un po' più difficile Alcuni degli exploit di sovrapposizione per funzionare, ma un po' di ingegnosità può ancora aggirarlo.
Dovresti preoccuparti?
Al momento, non ci sono app conosciute che sfruttano queste autorizzazioni per scopi dannosi, anche se ora che sono pubbliche, ciò potrebbe cambiare. Il team ha pubblicato la ricerca per forzare la mano di Google per migliorare l'esperienza, poiché, a differenza di altri Android vulnerabilità, questi exploit sfruttano difetti di progettazione nelle autorizzazioni stesse, non falle o bug nel file Software.
Cosa puoi fare per proteggerti?
Questo non sarà un problema per te se stai attento con le app che usi.
Spesso si parla molto delle falle di sicurezza di Android, ma Cloak & Dagger non è qualcosa di cui devi preoccuparti fintanto che stai attento a concedere le autorizzazioni di sovrapposizione.
Per mitigare i potenziali effetti di Cloak & Dagger, è una buona idea esaminare quali app possono creare sovrapposizioni sul tuo sistema Android. Sulla maggior parte delle versioni di Android, ecco come farlo:
- Aprire Impostazioni Android.
- Scorri verso il basso e tocca App.
- Tocca il Menù o icona dell'ingranaggio.
- Trova e tocca Accesso speciale. Di solito è sotto la voce "Avanzate".
- Tocca Disegna su altre app. Queste sono le app che possono creare sovrapposizioni utilizzando l'autorizzazione di cui sopra.
- Disabilita tutte le app che non riconosci.
Altro: come disattivare la sovrapposizione dello schermo sul Galaxy S8
Niente panico!
Seriamente, questo non è un grosso problema se stai attento alle app che scarichi, soprattutto perché Google ora esegue la scansione di 50 miliardi di app alla ricerca di malware ogni giorno utilizzando il suo sistema Play Protect.
Si spera che Google affronti pubblicamente questo problema o almeno fornisca alcuni chiarimenti su cosa intende fare con gli overlay delle app. Android O dovrebbe eliminare del tutto questo problema refactoring del problema di overlay con una nuova API, ma non è chiaro come o se Google intenda affrontare il problema nelle versioni precedenti.