Wczoraj wieczorem trafiłem na opis/przykład ciekawego ataku na urządzenia z systemem Android, przy wykorzystaniu m.in. opcji „rysowania na powierzchni”, czyli możliwości nakładania przez jedn aplikację swoich elementów na okno innej aplikacji (nie tylko pulpitu).
Android Cloak & Dagger
Potencjalnie mamy problem, bo nie dość, że sprawa dotyczy wszystkich dostateczny wersji Androida (łącznie z 7.1.2), to jeszcze (nie tylko) wyobraźnia podpowiada, że teoretycznie mamy tu nieskończone możliwości ataku, właściwie ograniczone tylko wyobraźnią twórców złośliwej aplikacji.
Atak Cloak & Dagger polega na tym, że aplikacja, która pod jakimś pozorem (np. wyświetlanie chodzącego kotka na ekranie telefonu ;-)) uzyska od nas uprawnienie do wyświetlania swoich elementów nad innymi aplikacjami (SYSTEM_ALERT_WINDOW) może właściwie każdą dowolną aplikację przysłonić elementem wygenerowanym przez siebie (np. okno logowania).
W połączeniu z opcjami z ułatwień dostępu (BIND_ACCESSIBILITY_SERVICE) taka aplikacja mogłaby odczytywać wprowadzane dane korzystając z tego, że każdy element interfejsu ma swoją lokalizacje, nazwę i granice.
Jak widać na powyższej grafice (zrzutach z ekranu) każdy, nawet najdrobniejszy element jest oddzielnym obiektem. W przypadku klawiatury można odczytać np. naciśnięcia konkretnych klawiszy (keylogger).
Proof of concept
Na dedykowanej stronie (tak, nadal każdy błąd i/lub atak i/lub… ma własną stronę ;-)) kilka filmów demonstracyjnych. Zaczynając od fałszywego okna logowania do aplikacji Facebooka:
A kończąc na instalacji aplikacji w tle, i to z pełnymi uprawnieniami:
Nie taki diabeł straszny, jak go malują
Oczywiście jest to problem, i potencjalnie mamy do czynienia ze spora luką w zabezpieczeniach (choć w tym przypadku to nie tyle luka/dziura, co raczej całkiem pomysłowe wykorzystanie 2 standardowych uprawnień w systemie Android).
Ale na szczęście wszystko opiera się na standardowych uprawnieniach w systemie, i to takich, które należą do grupy uprawnień specjalnych, a więc będących pod dodatkową kontrolą. Np. rysowanie nad innymi aplikacjami wymaga udzielenia dodatkowej zgody, i warto jej udzielać tylko przypadku naprawdę zaufanych aplikacji.
Warto sprawdzić które aplikacje korzystają z tego uprawnienia w systemie (telefonie), i w razie wątpliwości śmiało je odbierać:
Zawsze tez można wyłączyć całkowicie opcję rysowania na innych aplikacjach, ale wtedy musicie się liczyć z tym, że znikną Wam „dymki czatów” i tym podobne udogodnienia.
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- Dzięki wtyczce ShopMagic wdrożysz przypomnienie o płatności w WooCommerce, ale w wersji darmowej sensu ma to niewiele - 1970-01-01
- Microsoft Azure Speech CLI (SPX), czyli relatywnie tani i prosty sposób na transkrypcję (zamiana mowy na tekst) - 1970-01-01
- PayPal i TransferWise w kooperacji, czyli sposób na wypłatę dolarów z konta PayPal bez przewalutowania, ale z prowizją - 1970-01-01
