Er is een nieuwe Android-exploit onthuld genaamd Mantel & dolk en, trouw aan zijn naam, beschrijft het manieren waarop apps met slechte bedoelingen kunnen profiteren van twee Android-machtigingen om toetsaanslagen te stelen en gebruikers te misleiden om persoonlijke informatie vrij te geven.
Maar is het gevaarlijk? Laten we het snel afbreken.
Wat is Cloak & Dagger?
Cloak & Dagger is de naam voor een combinatie van twee misbruikbare Android-machtigingen die, wanneer ze onafhankelijk of afzonderlijk worden gebruikt via een slechtbedoelde app, ernstige gevolgen kunnen hebben.
Het werd gepubliceerd als een proof-of-concept door een vierkoppig team van het Georgia Institute of Technology en de University of California, Santa Barbara.
Het is niet een actieve exploit, en tot op heden is er geen openbaar gebruik van bekend.
Hoe werkt het?
Volgens het team maakt Cloak & Dagger gebruik van twee Android-machtigingen - SYSTEM_ALERT_WINDOW ("teken bovenaan") en BIND_ACCESSIBILITY_SERVICE ("a11y") - die, wanneer door samen of afzonderlijk te werken, kan een app "meeluisteren" en tekstinvoer stelen, zoals wachtwoorden, tweefactorauthenticatienummers of persoonlijke gegevens.
Cloak & Dagger is een nieuwe klasse van potentiële aanvallen op Android-apparaten. Door deze aanvallen kan een kwaadwillende app de UI-feedbackloop volledig beheersen en het apparaat overnemen, zonder dat de gebruiker de kans krijgt om de kwaadwillende activiteit op te merken. Deze aanvallen vereisen slechts twee machtigingen die, in het geval dat de app wordt geïnstalleerd vanuit de Play Store, de gebruiker niet expliciet hoeft te verlenen en waarvoor ze niet eens op de hoogte wordt gesteld. Ons gebruikersonderzoek geeft aan dat deze aanvallen praktisch zijn.
De toestemming "draw on top" staat bekend als de Android-overlayfunctie en wordt door veel apps gebruikt, zoals Facebook Messenger en Samsungs eigen Multi Window-functie om "vensters" mogelijk te maken die kunnen worden geminimaliseerd en bovenop elkaar kunnen worden verplaatst apps.
Hoe werkt de exploit?
Omdat beide machtigingen geen deel uitmaken van het expliciete systeem voor het verlenen van toestemming van Android dat begon in Android 6.0 Marshmallow, wanneer een kwaadaardige app wordt gedownload, kan de app automatisch de "draw on top" toekennen toestemming.
Zodra dat gebeurt, kan de app, eenmaal geopend, een overlay maken bovenop een bekende app, zoals Facebook, om invoer zoals wachtwoorden te "phishen". Het kan ook bovenop het Android-toetsenbord worden gelegd en alle ingevoerde tekst oppikken.
De toegankelijkheidsmachtiging is een beetje moeilijker om een gebruiker te forceren om in te schakelen, maar het team zegt dat het proof of concept de overlay-machtiging gebruikte om gebruikers te misleiden om deze te activeren. Zodra beide zijn ingeschakeld, kan een "god-modus" -app mogelijk gegevens stelen van elke app die op de telefoon wordt gebruikt.
Iedereen wordt getroffen
Cloak & Dagger heeft volgens het team invloed op alle versies van Android, inclusief Android 5.0, 6.0 en 7.0, tot aan de laatste release van Android 7.1.2.
Android 7.0 en hoger maakt het wat moeilijker voor sommige van de overlay-exploits om te werken, maar enige vindingrijkheid kan er nog steeds omheen.
Moet je je zorgen maken?
Op dit moment zijn er geen bekende apps die misbruik maken van deze machtigingen voor kwaadaardige doeleinden, maar nu ze openbaar zijn, kan dat veranderen. Het team publiceerde het onderzoek om Google te dwingen de ervaring te verbeteren, in tegenstelling tot andere Android kwetsbaarheden, profiteren deze exploits van ontwerpfouten in de machtigingen zelf, niet van gaten of bugs in de software.
Wat kun je doen om jezelf te beschermen?
Dit zal geen probleem voor je zijn als je voorzichtig bent met de apps die je gebruikt.
Er wordt vaak veel aandacht besteed aan de beveiligingsfouten van Android, maar Cloak & Dagger is niet iets waar u zich zorgen over hoeft te maken, zolang u maar voorzichtig bent met het verlenen van overlay-machtigingen.
Om de mogelijke effecten van Cloak & Dagger te beperken, is het een goed idee om na te gaan welke apps overlays bovenop uw Android-systeem kunnen maken. Op de meeste versies van Android gaat u als volgt te werk:
- Open Android-instellingen.
- Scroll naar beneden en tik op Apps.
- Tik op de Menu of tandwielpictogram.
- Zoek en tik op Speciale toegang. Het staat meestal onder het kopje 'Geavanceerd'.
- Tik op Teken over andere apps. Dit zijn de apps die overlays kunnen maken met de bovenstaande toestemming.
- Schakel alle apps uit die u niet herkent.
Meer: Hoe schermoverlay op de Galaxy S8 uit te schakelen
Geen paniek!
Serieus, dit is geen probleem als je voorzichtig bent met de apps die je downloadt, vooral omdat Google nu elke dag 50 miljard apps op malware scant met behulp van het Play Protect-systeem.
Hopelijk zal Google dit probleem publiekelijk aanpakken of op zijn minst enige verduidelijking geven over wat het van plan is te doen met app-overlays. Android O zou dit probleem helemaal moeten oplossen door refactoring van het overlay-probleem met een nieuwe API, maar het is onduidelijk hoe en of Google van plan is de bezorgdheid in eerdere versies weg te nemen.