Исследователи из Технологического института Джорджии и Калифорнийского университета в Санта-Барбаре опубликовали отчет о нескольких уязвимостях, обнаруженных в операционных системах Android Lollipop, Marshmallow и Nougat.
По словам исследователей, вредоносные приложения могут использовать два разрешения в Play Store — «рисовать сверху» и «службу специальных возможностей».
Пользователи могут быть атакованы с использованием одной из этих уязвимостей или обеих. Злоумышленник может кликнуть, записать нажатия клавиш, украсть защитный PIN-код устройства, вставить в устройство рекламное ПО, а также использовать токены двухфакторной аутентификации.
Читайте также: 5 советов, как защитить ваше Android-устройство от программ-вымогателей.
«Cloak & Dagger — это новый класс потенциальных атак, затрагивающих Android-устройства. Эти атаки позволяют вредоносному приложению полностью контролировать цикл обратной связи пользовательского интерфейса и захватывать устройство, не давая пользователю возможности заметить вредоносную активность», — отметили исследователи.
Эта уязвимость была раскрыта и раньше
Ранее в этом месяце мы сообщали об аналогичной неисправленной уязвимости в операционной системе Android, которая использовала разрешение «System_Alert_Window», используемое для «рисования сверху».
Раньше это разрешение — System_Alert_Window — приходилось предоставлять пользователю вручную, но с появлением таких приложений, как Facebook Messenger и других, которые используют всплывающие окна на экране, Google предоставляет его по умолчанию.
Хотя уязвимость, если ее использовать, может привести к полномасштабной атаке программы-вымогателя или рекламного ПО, хакеру будет нелегко ее инициировать.
Это разрешение отвечает за 74% атак программ-вымогателей, 57% рекламных программ и 14% атак банковских вредоносных программ на устройства Android.
Все приложения, которые вы загружаете из Play Store, сканируются на наличие вредоносных кодов и макросов. Таким образом, злоумышленнику придется обойти встроенную систему безопасности Google, чтобы получить доступ к магазину приложений.
Недавно Google также обновил свою мобильную операционную систему, добавив дополнительный уровень безопасности, который сканирует все приложения, загружаемые на устройство через Play Store.
Безопасно ли сейчас использовать Android?
Вредоносные приложения, загружаемые из Play Store, автоматически получают два вышеупомянутых разрешения, что позволяет злоумышленнику нанести вред вашему устройству следующими способами:
- Атака на невидимую сетку: Злоумышленник рисует невидимое наложение на устройстве, позволяя ему регистрировать нажатия клавиш.
- Кража PIN-кода устройства и работа с ним в фоновом режиме, даже когда экран выключен.
- Внедрение рекламного ПО в устройство.
- Скрытное исследование сети и фишинг.
Исследователи связались с Google по поводу найденных уязвимостей и подтвердили, что хотя компания внедрила исправления, они не являются надежными.
Обновление отключает наложения, что предотвращает атаку невидимой сетки, но Clickjacking все еще возможен, поскольку эти разрешения могут быть разблокированы вредоносным приложением с помощью метода разблокировки телефона, даже когда экран выключен.
Клавиатура Google также получила обновление, которое не предотвращает ведение журнала нажатий клавиш, но гарантирует, что пароли не утекают, как при вводе значения в поле пароля, теперь клавиатура регистрирует пароли как «точку» вместо фактического символа.
Но есть и обходной путь, которым могут воспользоваться злоумышленники.
«Поскольку можно перечислить виджеты и их хэш-коды, которые спроектированы так, чтобы быть псевдоуникальными, хэш-кодов достаточно, чтобы определить, какая кнопка клавиатуры была фактически нажата пользователем», — отметили исследователи.
Читайте также: Google представила 13 крутых будущих функций Android.
Все уязвимости, обнаруженные в ходе исследования, по-прежнему подвержены атакам, несмотря на то, что последняя версия Android получила патч безопасности 5 мая.
Исследователи отправили в магазин Google Play приложение, которое требовало двух вышеупомянутых разрешений и явно демонстрировало злонамеренные намерения, но оно было одобрено и по-прежнему доступно в магазине Play. Это говорит о том, что безопасность Play Store на самом деле работает не очень хорошо.
Что лучше всего сделать, чтобы оставаться в безопасности?
Лучше всего проверять и отключать оба этих разрешения вручную для любого ненадежного приложения, которое имеет доступ к одному или обоим из них.
Вот как вы можете проверить, какие приложения имеют доступ к этим двум «специальным» разрешениям на вашем устройстве.
- Андроид нуга: “рисовать поверх» — «Настройки» —> «Приложения» —> «Символ шестеренки (вверху справа) —> Специальный доступ —> «Рисовать поверх других приложений».
«a11y»: «Настройки» -> «Специальные возможности» -> «Сервисы»: проверьте, какие приложения требуют a11y. - Android Зефир: «рисовать сверху» — «Настройки» —> «Приложения» —> «Символ шестеренки» (вверху справа) —> «Рисовать поверх других приложений».
a11y: Настройки → Специальные возможности → Службы: проверьте, какие приложения требуют a11y. - Android леденец:«рисовать поверх» — «Настройки» —> «Приложения» —> нажмите на отдельное приложение и найдите «рисовать поверх других приложений».
a11y: Настройки -> Специальные возможности -> Службы: проверьте, какие приложения требуют a11y.
Google будет предоставлять дополнительные обновления безопасности для решения проблем, обнаруженных исследователями.
Читайте также: Как удалить программы-вымогатели с телефона.
Хотя некоторые из этих уязвимостей будут исправлены в следующих обновлениях, проблемы, связанные с разрешением «рисовать сверху», останутся до выпуска Android O.
Угрозы безопасности в Интернете растут в огромных масштабах, и в настоящее время единственный способ защитить ваше устройство — установить надежное антивирусное программное обеспечение и проявлять бдительность.
