Плащ и кинжал подвиг Android: крадет пароль и регистрирует нажатия клавиш

Исследователи из Технологического института Джорджии и Калифорнийского университета в Санта-Барбаре опубликовали отчет, в котором говорится о нескольких уязвимостях, обнаруженных в операционных системах Android Lollipop, Marshmallow и Nougat.

По словам исследователей, вредоносные приложения могут использовать два разрешения в магазине Play Store - «рисовать сверху» и «сервис доступности».

Пользователи могут быть атакованы с использованием одной из этих уязвимостей или обеих. Злоумышленник может щелкнуть по кнопке, записать нажатия клавиш, украсть защитный PIN-код устройства, вставить рекламное ПО в устройство, а также использовать токены двухфакторной аутентификации.

Также прочитайте: 5 советов, как предотвратить вымогание вашего Android-устройства.

«Cloak & Dagger - это новый класс потенциальных атак на устройства Android. Эти атаки позволяют вредоносному приложению полностью контролировать петлю обратной связи пользовательского интерфейса и захватывать устройство, не давая пользователю возможности заметить вредоносную активность », - отметили исследователи.

Эта уязвимость была выявлена ​​и раньше

Ранее в этом месяце мы сообщали о схожей нефиксированной уязвимости в операционной системе Android, которая использует разрешение «System_Alert_Window», используемое для «рисования сверху».

Ранее это разрешение - System_Alert_Window - должно было предоставляться пользователем вручную, но с появлением таких приложений, как Facebook Messenger и других, использующих всплывающие окна, Google предоставляет его по умолчанию.

Хотя уязвимость, в случае ее использования, может привести к полноценной атаке вымогателей или рекламного ПО, ее взломщику будет нелегко инициировать.

Это разрешение отвечает за 74% вымогателей, 57% рекламного ПО и 14% атак банковского вредоносного ПО на устройства Android.

Все приложения, которые вы загружаете из Play Store, проверяются на наличие вредоносных кодов и макросов. Таким образом, злоумышленнику придется обойти встроенную систему безопасности Google, чтобы получить доступ в магазин приложений.

Google недавно также обновил свою мобильную операционную систему дополнительным уровнем безопасности, который сканирует все приложения, которые загружаются на устройство через Play Store.

Безопасно ли сейчас использовать Android?

Вредоносные приложения, загружаемые из Play Store, автоматически получают два вышеупомянутых разрешения, что позволяет злоумышленнику нанести вред вашему устройству следующими способами:

• Атака невидимой сетки: атакующий использует невидимое наложение на устройство, что позволяет ему регистрировать нажатия клавиш.
• Кража PIN-кода устройства и работа в фоновом режиме даже при выключенном экране.
• Внедрение рекламного ПО в устройство.
• Изучение сети и фишинг украдкой.

Исследователи связались с Google по поводу обнаруженных уязвимостей и подтвердили, что, хотя компания внедрила исправления, они не защищены от ошибок.

Обновление отключает оверлеи, что предотвращает атаку невидимой сетки, но Clickjacking все еще возможен, так как эти разрешения могут быть разблокированы вредоносным приложением, используя метод разблокировки телефона, даже когда экран выключен.

Клавиатура Google также получила обновление, которое не предотвращает регистрацию нажатий клавиш, но гарантирует, что пароли не просачиваются, как при вводе значения в поле пароля, теперь клавиатура регистрирует пароли как «точку» вместо действительного символа.

Но есть и способ обойти это, который может быть использован злоумышленниками.

«Поскольку существует возможность перечисления виджетов и их хеш-кодов, которые предназначены для псевдо-уникальности, хеш-кодов достаточно, чтобы определить, какая кнопка клавиатуры была фактически нажата пользователем», - отметили исследователи.

Читайте также: 13 новых интересных функций Android, представленных Google.

Все обнаруженные исследования уязвимости все еще подвержены атаке, хотя 5 мая последняя версия Android получила исправление безопасности.

Исследователи отправили приложение в Google Play Store, которое требовало двух вышеупомянутых разрешений и четко показало злонамеренные намерения, но оно было одобрено и все еще доступно в Play Store. Это говорит о том, что безопасность Play Store на самом деле не так хорошо работает.

Как лучше всего оставаться в безопасности?

Лучше всего проверять и отключать оба эти разрешения вручную для любого ненадежного приложения, которое имеет доступ к одному или обоим из них.

Таким образом вы можете проверить, какие приложения имеют доступ к этим двум «специальным» разрешениям на вашем устройстве.

• Android Nougat: « рисовать сверху» - «Настройки» -> «Приложения» -> «Символ шестеренки» (вверху справа) -> Специальный доступ -> «Рисовать поверх других приложений»

  'a11y': Настройки -> Специальные возможности -> Услуги: проверьте, какие приложения требуют a11y.

• Зефир Android: «рисовать сверху» - «Настройки» -> «Приложения» -> «Символ шестеренки» (вверху справа) -> Рисовать поверх других приложений.

  a11y: Настройки → Специальные возможности → Сервисы: проверьте, какие приложения требуют a11y.

• Android Lollipop: «рисовать сверху» - «Настройки» -> «Приложения» -> нажать на отдельное приложение и искать «рисовать поверх других приложений»

  a11y: Настройки -> Специальные возможности -> Сервисы: проверьте, какие приложения требуют a11y.

Google будет предоставлять дополнительные обновления безопасности для решения проблем, обнаруженных исследователями.

Читайте также: Вот как удалить вымогателей с вашего телефона.

Хотя некоторые из этих уязвимостей будут исправлены в следующих обновлениях, проблемы, связанные с разрешением «рисовать сверху», остаются до выпуска Android O.

Угрозы безопасности в Интернете растут в огромных масштабах, и в настоящее время единственный способ защитить ваше устройство - это установить надежное антивирусное программное обеспечение и быть бдительным.