נחשף ניצול חדש של אנדרואיד בשם גלימה ופגיון וכן, נאמן לשמה, הוא מתאר דרכים שבהן אפליקציות עם כוונות לא טובות יכולות לנצל שתי הרשאות אנדרואיד כדי לגנוב הקשות ולהערים על משתמשים לחשוף מידע אישי.
אבל האם זה מסוכן? בואו נפרק את זה מהר.
מה זה גלימה ופגיון?
Cloak & Dagger הוא השם לשילוב של שתי הרשאות אנדרואיד שניתנות לניצול, שבשימוש עצמאי או בנפרד באמצעות אפליקציה עם כוונות לא טובות, יכולות להיות השלכות קשות.
זה פורסם בתור א הוכחה של רעיון או תאוריה על ידי צוות של ארבעה אנשים במכון הטכנולוגי של ג'ורג'יה ובאוניברסיטת קליפורניה, סנטה ברברה.
זה לֹא ניצול פעיל, ועד היום לא היו שימושים ציבוריים ידועים בו.
איך זה עובד?
לדברי הצוות, Cloak & Dagger מנצלים שתי הרשאות אנדרואיד - SYSTEM_ALERT_WINDOW ("צייר למעלה") ו-BIND_ACCESSIBILITY_SERVICE ("a11y") - שכאשר עבודה ביחד או בנפרד, מאפשרת לאפליקציה "להאזין" ולגנוב קלט טקסט כגון סיסמאות, מספרי אימות דו-גורמי או אישי נתונים.
Cloak & Dagger הוא סוג חדש של התקפות פוטנציאליות המשפיעות על מכשירי אנדרואיד. התקפות אלו מאפשרות לאפליקציה זדונית לשלוט לחלוטין בלולאת המשוב של ממשק המשתמש ולהשתלט על המכשיר - מבלי לתת למשתמש הזדמנות להבחין בפעילות הזדונית. התקפות אלו דורשות רק שתי הרשאות שבמקרה שהאפליקציה מותקנת מחנות Play, המשתמש אינו צריך להעניק עליהן במפורש ועליהן היא אפילו לא מקבלת הודעה. מחקר המשתמשים שלנו מצביע על כך שהתקפות אלו הן מעשיות.
הרשאת "צייר מלמעלה" ידועה בתור תכונת שכבת העל של אנדרואיד ומשמשת אפליקציות רבות כמו Facebook Messenger ותכונת Multi Window של סמסונג עצמה כדי לאפשר "חלונות" שניתן למזער ולהזיז על גבי אחרים אפליקציות.
איך הניצול עובד?
מכיוון ששתי ההרשאות אינן חלק ממערכת מתן ההרשאות המפורשת של אנדרואיד שהחלה באנדרואיד 6.0 מרשמלו, כאשר מורידים אפליקציה זדונית, האפליקציה יכולה להעניק אוטומטית את "הציור למעלה" רְשׁוּת.
ברגע שזה קורה, האפליקציה, לאחר פתיחתה, יכולה ליצור שכבת-על על גבי אפליקציה ידועה, כמו פייסבוק, כדי "לדוג" קלט כמו סיסמאות. זה יכול גם לשכב על גבי מקלדת אנדרואיד, לקלוט את כל הטקסט שהוזן.
קצת יותר קשה לאלץ משתמש להפעיל את הרשאת הנגישות, אבל הצוות אומר שהוכחת הרעיון שלו השתמשה בהרשאת שכבת העל כדי להערים על משתמשים להפעיל אותה. ברגע ששניהם מופעלים, אפליקציית "מצב אלוהים" עלולה לגנוב נתונים מכל אפליקציה בשימוש בטלפון.
כולם מושפעים
Cloak & Dagger משפיע על כל הגרסאות של אנדרואיד, על פי הצוות, כולל אנדרואיד 5.0, 6.0 ו-7.0, עד המהדורה האחרונה של אנדרואיד 7.1.2.
אנדרואיד 7.0 ומעלה עושה את זה קצת יותר קשה עבור כמה מנצל את שכבת-העל לעבוד, אבל כושר המצאה מסוים עדיין יכול לעקוף את זה.
האם כדאי לדאוג?
נכון לעכשיו, אין אפליקציות ידועות שמנצלות את ההרשאות הללו למטרות זדוניות, אם כי כעת כשהן ציבוריות, זה עשוי להשתנות. הצוות פרסם את המחקר כדי לאלץ את ידה של גוגל לשפר את החוויה, שכן, בניגוד לאנדרואיד אחרות נקודות תורפה, ניצולים אלה מנצלים את פגמי העיצוב בהרשאות עצמן, לא חורים או באגים ב תוֹכנָה.
מה אתה יכול לעשות כדי להגן על עצמך?
זה לא יהווה בעיה עבורך אם אתה זהיר עם האפליקציות שבהן אתה משתמש.
לעתים קרובות נעשה הרבה מפגמי האבטחה של אנדרואיד, אבל Cloak & Dagger הוא לא משהו שאתה צריך לדאוג לגביו כל עוד אתה זהיר במתן הרשאות שכבת-על.
על מנת למתן את ההשפעות הפוטנציאליות של Cloak & Dagger, מומלץ לבדוק אילו אפליקציות יכולות ליצור שכבות על גבי מערכת האנדרואיד שלך. ברוב הגרסאות של אנדרואיד, הנה איך לעשות את זה:
- לִפְתוֹחַ הגדרות אנדרואיד.
- גלול מטה והקש על אפליקציות.
- הקש על תַפרִיט או סמל גלגל שיניים.
- מצא והקש על גישה מיוחדת. זה בדרך כלל תחת הכותרת "מתקדם".
- הקש צייר מעל אפליקציות אחרות. אלו הן האפליקציות שיכולות ליצור שכבות על באמצעות ההרשאה שלמעלה.
- השבת את כל האפליקציות שאינך מזהה.
עוד: כיצד לכבות שכבת-על מסך ב-Galaxy S8
לא להיבהל!
ברצינות, זה לא עניין גדול אם אתה זהיר לגבי האפליקציות שאתה מוריד, במיוחד מכיוון שגוגל סורקת כעת 50 מיליארד אפליקציות לאיתור תוכנות זדוניות מדי יום באמצעות מערכת Play Protect שלה.
אני מקווה שגוגל תטפל בבעיה זו בפומבי או לפחות תספק הבהרות לגבי מה היא מתכוונת לעשות עם שכבות-על של אפליקציות. אנדרואיד O אמורה לבטל את הבעיה הזו לחלוטין על ידי עיבוד מחדש של בעיית שכבת העל עם API חדש, אך לא ברור כיצד או אם גוגל מתכננת לטפל בחשש בגרסאות קודמות.