Wczoraj wieczorem trafiłem na opis/przykład ciekawego ataku na urządzenia z systemem Android, przy wykorzystaniu m.in. opcji „rysowania na powierzchni”, czyli możliwości nakładania przez jedn aplikację swoich elementów na okno innej aplikacji (nie tylko pulpitu).
Spis treści w artykule
Android Cloak & Dagger
Potencjalnie mamy problem, bo nie dość, że sprawa dotyczy wszystkich dostateczny wersji Androida (łącznie z 7.1.2), to jeszcze (nie tylko) wyobraźnia podpowiada, że teoretycznie mamy tu nieskończone możliwości ataku, właściwie ograniczone tylko wyobraźnią twórców złośliwej aplikacji.
Atak Cloak & Dagger polega na tym, że aplikacja, która pod jakimś pozorem (np. wyświetlanie chodzącego kotka na ekranie telefonu ;-)) uzyska od nas uprawnienie do wyświetlania swoich elementów nad innymi aplikacjami (SYSTEM_ALERT_WINDOW) może właściwie każdą dowolną aplikację przysłonić elementem wygenerowanym przez siebie (np. okno logowania).
W połączeniu z opcjami z ułatwień dostępu (BIND_ACCESSIBILITY_SERVICE) taka aplikacja mogłaby odczytywać wprowadzane dane korzystając z tego, że każdy element interfejsu ma swoją lokalizacje, nazwę i granice.
Jak widać na powyższej grafice (zrzutach z ekranu) każdy, nawet najdrobniejszy element jest oddzielnym obiektem. W przypadku klawiatury można odczytać np. naciśnięcia konkretnych klawiszy (keylogger).
Proof of concept
Na dedykowanej stronie (tak, nadal każdy błąd i/lub atak i/lub… ma własną stronę ;-)) kilka filmów demonstracyjnych. Zaczynając od fałszywego okna logowania do aplikacji Facebooka:
A kończąc na instalacji aplikacji w tle, i to z pełnymi uprawnieniami:
Nie taki diabeł straszny, jak go malują
Oczywiście jest to problem, i potencjalnie mamy do czynienia ze spora luką w zabezpieczeniach (choć w tym przypadku to nie tyle luka/dziura, co raczej całkiem pomysłowe wykorzystanie 2 standardowych uprawnień w systemie Android).
Ale na szczęście wszystko opiera się na standardowych uprawnieniach w systemie, i to takich, które należą do grupy uprawnień specjalnych, a więc będących pod dodatkową kontrolą. Np. rysowanie nad innymi aplikacjami wymaga udzielenia dodatkowej zgody, i warto jej udzielać tylko przypadku naprawdę zaufanych aplikacji.
Warto sprawdzić które aplikacje korzystają z tego uprawnienia w systemie (telefonie), i w razie wątpliwości śmiało je odbierać:
Zawsze tez można wyłączyć całkowicie opcję rysowania na innych aplikacjach, ale wtedy musicie się liczyć z tym, że znikną Wam „dymki czatów” i tym podobne udogodnienia.

Zapraszam do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!
- Themeum’s Licensing System, czyli nowy panel zarządzania kluczami licencyjnymi, m.in. dla wtyczki Tutor LMS Pro - 1970-01-01
- Czyszczenie koszyka w sklepie internetowym na WooCommerce za pomocą specjalnego argumentu w linku - 1970-01-01
- LanguageTool to świetne narzędzie do sprawdzania tekstu, które można też uruchomić na komputerze lub serwerze - 1970-01-01