Edmund Richardson
0 
3906
491
Det siges, at vejen til helvede er brolagt med gode intentioner. Du kan gøre noget med de mest storslåede ender, men hvis du ikke er forsigtig, kan det hele gå forfærdeligt galt, utroligt hurtigt.
En sikkerhedssårbarhed i Android's Accessibility Services - opdaget af SkyCure sikkerhedsforsker Yair Amit - er et godt eksempel på dette. Ved at udnytte en fejl i værktøjet, der gør det muligt for blinde og svagtseende at bruge Android-enheder, kunne en angriberen få kontrol over enheden i processen at få forhøjede privilegier og gribe adgang til de filer, der er gemt på den.
Lad os tage et kig og finde ud af, hvordan du kan forhindre, at dette sker.
At forstå fejlen
Udnyttelsen bygger på tidligere forskning fra SkyCure, der blev offentliggjort på dette års RSA-konference. Forskningen udforskede, hvordan du ved at oprette applikationer, der kan trække over andre, og på sin side lancere de indbyggede tilgængelighedstjenester (forbedring af brugergrænsefladen designet til at hjælpe brugere med handicap), kan introducere forskellige former for ondartet opførsel, som demonstreret i video nedenfor.
Som et proof-of-concept har SkyCure skabt et spil baseret på den populære Rick og Morty tv-serie, der faktisk lancerer en ondsindet tilgængelighedstjeneste, alt uden at brugeren lægger mærke til.
I beskrivelsen af den oprindelige trussel siger SkyCure, at den kunne bruges til “give en ondsindet hacker praktisk talt ubegrænset tilladelse til deres malware”. En potentiel applikation til angrebet, siger SkyCure, er at installere ransomware. Det kan også bruges til at komponere virksomhedens e-mails og dokumenter via brugerens enhed, samt vedvarende overvåge enhedsaktivitet.
Denne type angreb har et navn - clickjacking, eller mindre almindeligt en “UI-klageadgang”. OWASP (Open Web Application Security Project) definerer clickjacking som når “en angriber bruger flere gennemsigtige eller uigennemsigtige lag til at narre en bruger til at klikke på en knap eller et link på en anden side, da de havde til hensigt at klikke på siden på øverste niveau”.
Fra Android Lollipop (5.x) tilføjede Google en løsning, der i teorien ville have gjort denne form for angreb umulig. Ændringen indført af Google betød, at hvis en bruger ville aktivere tilgængelighedstjenester, kunne OK-knappen ikke være dækket af et overlay, hvilket forhindrede en angriber i at lancere dem ved stealth.
Som reference er det sådan, det ser ud, når du starter en tilgængelighedstjeneste manuelt. Som du kan se, er Google meget eksplicit om de nødvendige Android-tilladelser Sådan fungerer Android-apptilladelser, og hvorfor du skal pleje, hvordan Android-apptilladelser fungerer, og hvorfor du skal pleje Android tvinger apps til at erklære de tilladelser, de har brug for, når de installerer dem. Du kan beskytte dit privatliv, din sikkerhed og din mobiltelefonregning ved at være opmærksom på tilladelser, når du installerer apps - selvom mange brugere…. Dette vil afskrække mange brugere fra at installere tilgængelighedstjenester i første omgang.
Sådan besejres Googles beskyttelse
Yair Amit kunne imidlertid finde en fejl i Googles tilgang.
“Jeg var på et hotel, da det skete for mig, at selv om hotellets dør for det meste blokerede for min syn på gangen udenfor, var der et kighul, der ikke blokerede visningen. Dette var min epiphany, der fik mig til at tænke, at hvis der var et hul i overlejringen, kunne OK-knappen være 'for det meste dækket' og stadig acceptere et strejf i det potentielt meget lille område, der ikke var dækket, og derved omgå den nye beskyttelse og skjule stadig den sande hensigt fra brugeren.”
For at teste denne idé ud modificerede SkyCure-softwareudvikler Elisha Eshed Rick og Morty-spillet, som blev brugt i det oprindelige exploit proof-of-concept. Eshed skabte et lille hul i overlayet, som var forklædt som et spilelement, men faktisk var bekræftelsesknappen på tilgængelighedstjenesten. Da brugeren klikkede på spilelementet, blev tjenesten lanceret, og med det al den uønskede opførsel.
Mens den oprindelige udnyttelse fungerede mod stort set alle Android-enheder, der kører Android KitKat It's Official: Nexus 5 og Android 4.4 KitKat Are Here, det er officielt: Nexus 5 og Android 4.4 KitKat Are Here Nexus 5 er nu til salg i Google Play Store, og den kører den splinternye Android 4.4 KitKat, som også vil blive rullet ud til andre enheder "i de kommende uger." og tidligere øger denne tilgang antallet af udnyttelige enheder til at omfatte dem, der kører Android 5.0 Lollipop Android 5.0 Lollipop: Hvad det er, og når du får det Android 5.0 Lollipop: Hvad det er, og når du får det Android 5.0 Lollipop er her, men kun på Nexus-enheder. Hvad er der nøjagtigt med dette operativsystem, og hvornår kan du forvente, at det kommer på din enhed? . Som en konsekvens er næsten alle aktive Android-enheder sårbare over for dette angreb. SkyCure estimerer, at op til 95,4% af Android-enheder kan blive påvirket.
Formildende mod det
I overensstemmelse med fornuftige, ansvarlige afsløringsprocedurer Fuld eller ansvarlig afsløring: Hvordan sikkerhedsmæssige sårbarheder afsløres Fuld eller ansvarlig afsløring: Hvordan sikkerhedssvagheder afsløres Sikkerhedsproblemer i populære softwarepakker opdages hele tiden, men hvordan rapporteres de til udviklere, og hvordan gør de det? hackere lærer om sårbarheder, som de kan udnytte? , SkyCure kontaktede først Google, før de frigav det for offentligheden for at give dem en mulighed for at løse det. Googles Android Security-team har besluttet ikke at løse problemet og acceptere risikoen som en konsekvens af det aktuelle design.
For at afbøde truslen anbefaler SkyCure, at brugerne kører en opdateret version af en mobil trusselsforsvarsløsning. Disse forsvarer proaktivt mod trusler, ligesom et IPS (Intrusion Protection System) eller IDS (Intrusion Detection System) gør. De er dog overvældende rettet mod virksomhedsbrugere og er langt uden for de fleste hjemmebrugere.
SkyCure anbefaler hjemmebrugere at beskytte sig selv ved at sikre, at de kun downloader apps fra pålidelige kilder. Er det sikkert at installere Android-apps fra ukendte kilder? Er det sikkert at installere Android-apps fra ukendte kilder? Google Play Store er ikke din eneste kilde til apps, men er det sikkert at søge andre steder? , såsom Google Play Store. Det anbefaler også, at enheder kører en opdateret version af Android, selvom de fragmenterede Android-økosystemer og operatørdrevne opdateringsprocesser er givet. Hvorfor har min Android-telefon ikke opdateret endnu? Hvorfor er min Android-telefon ikke opdateret endnu? Android-opdateringsprocessen er lang og kompliceret; lad os undersøge det for at finde ud af nøjagtigt, hvorfor din Android-telefon tager så lang tid at opdatere. , dette er lettere sagt end gjort.
Det er værd at bemærke, at Marshmallow - den nyeste version af Android - kræver, at brugerne manuelt og specifikt opretter et systemoverlay ved at ændre tilladelserne til den app. Mens denne type sårbarhed muligvis kan påvirke enheder, der kører Marshmallow, er det i virkeligheden ikke tilfældet, da det er markant sværere at udnytte.
At sætte alt sammen i en sammenhæng
SkyCure har identificeret en farlig og levedygtig måde for en angriber at dominere en Android-enhed fuldstændigt. Mens det er skræmmende, er det værd at minde jer om, at en masse kort skal falde på plads for at et angreb, der er baseret på det, fungerer.
Angriberen skal enten gøre en af to ting. En taktik ville være at distribuere deres ansøgning til Google Play Store - og derefter omgå deres ekstremt kraftige statiske analyser og trusselsdetekteringsprocedurer. Dette er yderst usandsynligt. Seks år siden åbningen og millioner af applikationer senere er Google blevet ekstremt god til at identificere malware og falske software. På det punkt har Apple det også, selvom Microsoft stadig har en lang vej at gå.
Alternativt er angriberen nødt til at overbevise en bruger om at indstille deres telefon til at acceptere software fra ikke-officielle kilder og installere et ellers ukendt program. Da dette usandsynligt finder et stort publikum, kræver det, at angriberen enten vælger et mål og 'spyd phish' dem.
Selvom dette uundgåeligt vil være et mareridt for virksomhedernes IT-afdelinger, vil det være mindre problem for almindelige hjemmebrugere, hvor langt de fleste får deres apps fra en enkelt, officiel kilde - Google Play Store.
Billedkredit: Ødelagt hængelås af Ingvar Bjork via Shutterstock