Wczoraj wieczorem trafiłem na opis/przykład ciekawego ataku na urządzenia z systemem Android, przy wykorzystaniu m.in. opcji „rysowania na powierzchni”, czyli możliwości nakładania przez jedn aplikację swoich elementów na okno innej aplikacji (nie tylko pulpitu).
Spis treści w artykule
Android Cloak & Dagger
Potencjalnie mamy problem, bo nie dość, że sprawa dotyczy wszystkich dostateczny wersji Androida (łącznie z 7.1.2), to jeszcze (nie tylko) wyobraźnia podpowiada, że teoretycznie mamy tu nieskończone możliwości ataku, właściwie ograniczone tylko wyobraźnią twórców złośliwej aplikacji.
Atak Cloak & Dagger polega na tym, że aplikacja, która pod jakimś pozorem (np. wyświetlanie chodzącego kotka na ekranie telefonu ;-)) uzyska od nas uprawnienie do wyświetlania swoich elementów nad innymi aplikacjami (SYSTEM_ALERT_WINDOW) może właściwie każdą dowolną aplikację przysłonić elementem wygenerowanym przez siebie (np. okno logowania).
W połączeniu z opcjami z ułatwień dostępu (BIND_ACCESSIBILITY_SERVICE) taka aplikacja mogłaby odczytywać wprowadzane dane korzystając z tego, że każdy element interfejsu ma swoją lokalizacje, nazwę i granice.
Jak widać na powyższej grafice (zrzutach z ekranu) każdy, nawet najdrobniejszy element jest oddzielnym obiektem. W przypadku klawiatury można odczytać np. naciśnięcia konkretnych klawiszy (keylogger).
Proof of concept
Na dedykowanej stronie (tak, nadal każdy błąd i/lub atak i/lub… ma własną stronę ;-)) kilka filmów demonstracyjnych. Zaczynając od fałszywego okna logowania do aplikacji Facebooka:
A kończąc na instalacji aplikacji w tle, i to z pełnymi uprawnieniami:
Nie taki diabeł straszny, jak go malują
Oczywiście jest to problem, i potencjalnie mamy do czynienia ze spora luką w zabezpieczeniach (choć w tym przypadku to nie tyle luka/dziura, co raczej całkiem pomysłowe wykorzystanie 2 standardowych uprawnień w systemie Android).
Ale na szczęście wszystko opiera się na standardowych uprawnieniach w systemie, i to takich, które należą do grupy uprawnień specjalnych, a więc będących pod dodatkową kontrolą. Np. rysowanie nad innymi aplikacjami wymaga udzielenia dodatkowej zgody, i warto jej udzielać tylko przypadku naprawdę zaufanych aplikacji.
Warto sprawdzić które aplikacje korzystają z tego uprawnienia w systemie (telefonie), i w razie wątpliwości śmiało je odbierać:
Zawsze tez można wyłączyć całkowicie opcję rysowania na innych aplikacjach, ale wtedy musicie się liczyć z tym, że znikną Wam „dymki czatów” i tym podobne udogodnienia.
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- Obserwatorze mój, Ty zawsze przy mnie stój, czyli obserwator BSP w kontekście lotów dronami w zasięgu wzroku (VLOS) - 1970-01-01
- Nowe plany w Vimeo, czyli nie liczy się już rozmiar, a liczba plików (filmów), którą możemy wgrać na konto - 1970-01-01
- Kopie zapasowe i aktualizacje WordPressa raz w miesiącu? Jako dodatek można, ale bezpieczeństwa strony na tym nie opieraj - 1970-01-01
