Λέγεται ότι ο δρόμος προς την κόλαση είναι πλακόστρωτος με καλές προθέσεις. Μπορείτε να κάνετε κάτι με τους πιο μεγαλοφρονημένους σκοπούς, αλλά αν δεν είστε προσεκτικοί, μπορεί να πάει παντού τρομερά άβολο, απίστευτα γρήγορα.
Μια ευπάθεια ασφαλείας στις υπηρεσίες προσβασιμότητας του Android - που ανακαλύφθηκε από τον ερευνητή ασφάλειας της SkyCure Yair Amit - είναι ένα εξαιρετικό παράδειγμα. Χρησιμοποιώντας ένα ελάττωμα στο εργαλείο το οποίο επιτρέπει στα άτομα με προβλήματα όρασης και άτομα με προβλήματα όρασης να χρησιμοποιούν συσκευές Android, ο εισβολέας θα μπορούσε να αποκτήσει τον έλεγχο της συσκευής, αποκτώντας αυξημένα προνόμια και να κατασχέσει την πρόσβαση στα αρχεία που είναι αποθηκευμένα σε αυτήν.
Ας ρίξουμε μια ματιά, και να μάθετε πώς μπορείτε να σταματήσετε αυτό να συμβεί.
Κατανόηση του ελαττώματος
Η εκμετάλλευση βασίζεται σε προηγούμενη έρευνα της SkyCure, η οποία δημοσιεύτηκε στη φετινή διάσκεψη του RSA. Η έρευνα διερεύνησε τον τρόπο με τον οποίο μπορείτε να δημιουργήσετε εφαρμογές που μπορούν να προσελκύσουν άλλες και να δρομολογήσετε τις ενσωματωμένες υπηρεσίες προσβασιμότητας (βελτιώσεις διεπαφής χρήστη που έχουν σχεδιαστεί για να βοηθήσουν τους χρήστες με αναπηρίες), μπορείτε να εισαγάγετε διάφορες κακοήθεις συμπεριφορές, βίντεο παρακάτω.
Ως απόδειξη της ιδέας, η SkyCure δημιούργησε ένα παιχνίδι βασισμένο στις δημοφιλείς τηλεοπτικές σειρές Rick και Morty, οι οποίες στην πραγματικότητα εγκαινιάζουν μια υπηρεσία κακόβουλης προσβασιμότητας, χωρίς να το προσέξει ο χρήστης.
Στην περιγραφή της αρχικής απειλής, η SkyCure λέει ότι θα μπορούσε να χρησιμοποιηθεί για να "δώσει σε έναν κακόβουλο hacker απεριόριστα δικαιώματα για το κακόβουλο λογισμικό του". Μία πιθανή εφαρμογή για την επίθεση, λέει η SkyCure, είναι η ανάπτυξη ransomware. Θα μπορούσε επίσης να χρησιμοποιηθεί για την σύνταξη εταιρικών μηνυμάτων ηλεκτρονικού ταχυδρομείου και εγγράφων μέσω της συσκευής του χρήστη, καθώς και για τη συνεχή παρακολούθηση της δραστηριότητας της συσκευής.
Αυτός ο τύπος επίθεσης έχει ένα όνομα - clickjacking, ή λιγότερο συχνά μια "επίθεση επανόρθωσης UI". Το OWASP ορίζει το clickjacking όπως όταν ένας εισβολέας χρησιμοποιεί πολλαπλά διαφανή ή αδιαφανή επίπεδα για να εξαπατήσει έναν χρήστη να κάνει κλικ σε ένα κουμπί ή να συνδεθεί σε άλλη σελίδα όταν σκόπευε να κάνει κλικ στη σελίδα του επάνω επιπέδου.
Ξεκινώντας από το Android Lollipop (5.x), η Google πρόσθεσε έναν τρόπο αντιμετώπισης, ο οποίος, θεωρητικά, θα είχε καταστήσει αδύνατο αυτό το είδος επίθεσης. Η αλλαγή που εισήγαγε η Google σήμαινε ότι εάν ένας χρήστης ήθελε να ενεργοποιήσει τις υπηρεσίες προσβασιμότητας, το κουμπί OK δεν μπορούσε να καλυφθεί από μια επικάλυψη, εμποδίζοντας έναν εισβολέα να τους ξεκινήσει με μυστικότητα.
Για αναφορά, αυτό είναι αυτό που μοιάζει όταν ξεκινάτε μια υπηρεσία προσβασιμότητας με μη αυτόματο τρόπο. Όπως μπορείτε να δείτε, η Google είναι πολύ σαφής σχετικά με τα απαιτούμενα δικαιώματα Android Πώς λειτουργούν τα δικαιώματα χρήσης εφαρμογών Android και γιατί πρέπει να φροντίζετε Πώς λειτουργούν τα δικαιώματα χρήσης εφαρμογών Android και γιατί πρέπει να φροντίσετε τις εφαρμογές Android να δηλώνουν τα δικαιώματα που χρειάζονται κατά την εγκατάσταση τους. Μπορείτε να προστατεύσετε το ιδιωτικό σας απόρρητο, την ασφάλεια και το λογαριασμό τηλεφώνου κυττάρων με την προσοχή στα δικαιώματα κατά την εγκατάσταση εφαρμογών - αν και πολλοί χρήστες ... Διαβάστε περισσότερα. Αυτό θα αποτρέψει πολλούς χρήστες από την εγκατάσταση υπηρεσιών προσβασιμότητας.
Πώς να νικήσετε τις Προστασίες της Google
Ωστόσο, η Yair Amit κατάφερε να βρει ένα ελάττωμα στην προσέγγιση της Google.
"Ήμουν σε ένα ξενοδοχείο όταν μου φάνηκε ότι παρόλο που η πόρτα του ξενοδοχείου έσπασε περισσότερο την θέα του εξωτερικού χώρου, υπήρχε μια σκιάστρα που δεν εμπόδιζε την θέα. Αυτή ήταν η επιείκεια μου που με οδήγησε στο να σκεφτώ ότι αν υπήρχε μια τρύπα στην επικάλυψη, το κουμπί ΟΚ θα μπορούσε να «καλύπτεται ως επί το πλείστον» και να δέχεται ακόμα ένα άγγιγμα στην ενδεχομένως πολύ μικρή περιοχή που δεν καλύφθηκε, παρακάμπτοντας έτσι τη νέα προστασία και εξακολουθεί να κρύβει την πραγματική πρόθεση από το χρήστη. "
Για να δοκιμάσει αυτή την ιδέα έξω, ο προγραμματιστής λογισμικού SkyCure Elisha Eshed τροποποίησε το παιχνίδι Rick και Morty, το οποίο χρησιμοποιήθηκε στην αρχική εκμετάλλευση απόδειξη της ιδέας. Το Eshed δημιούργησε μια μικρή τρύπα στην επικάλυψη, η οποία ήταν μεταμφιεσμένη ως στοιχείο παιχνιδιού, αλλά ήταν στην πραγματικότητα το κουμπί επιβεβαίωσης της υπηρεσίας προσβασιμότητας. Όταν ο χρήστης έκανε κλικ στο στοιχείο του παιχνιδιού, ξεκίνησε η υπηρεσία, και μαζί του, όλη η ανεπιθύμητη συμπεριφορά.
Ενώ το πρωτότυπο εκμεταλλευόταν τις λειτουργίες του Android σε πραγματικό χρόνο με όλες τις συσκευές Android που κυκλοφόρησαν το Android KitKat Είναι Επίσημο: Nexus 5 και Android 4.4 KitKat Εδώ είναι Επίσημο: Nexus 5 και Android 4.4 KitKat Εδώ Το Nexus 5 κυκλοφορεί τώρα στο Google Play Store το ολοκαίνουργιο Android 4.4 KitKat, το οποίο θα κυκλοφορήσει και σε άλλες συσκευές "τις επόμενες εβδομάδες". Read More και νωρίτερα, αυτή η προσέγγιση αυξάνει τον αριθμό των εκμεταλλεύσιμων συσκευών για να συμπεριλάβει τους χρήστες Android 5.0 Lollipop Android 5.0 Lollipop: Τι είναι και πότε θα το πάρετε Android 5.0 Lollipop: Τι είναι και πότε θα το πάρετε Android 5.0 Το Lollipop είναι εδώ, αλλά μόνο σε συσκευές Nexus. Τι ακριβώς είναι καινούργιο για αυτό το λειτουργικό σύστημα και πότε μπορείτε να περιμένετε να φτάσει στη συσκευή σας; Διαβάστε περισσότερα . Κατά συνέπεια, σχεδόν όλες οι ενεργές συσκευές Android είναι ευάλωτες σε αυτήν την επίθεση. Η SkyCure εκτιμά ότι μπορεί να επηρεαστεί έως 95, 4% των συσκευών Android .
Αντιμετωπίζοντας το πρόβλημα
Σύμφωνα με ευαίσθητες διαδικασίες υπεύθυνου γνωστοποίησης Πλήρης ή υπεύθυνη αποκάλυψη: Πώς αποκαλύπτονται τα ευπάθειες ασφαλείας Πλήρης ή υπεύθυνη αποκάλυψη: Πώς αποκαλύπτονται τα ευπάθειες ασφαλείας Τα ευπάθειες ασφαλείας στα δημοφιλή πακέτα λογισμικού ανακαλύπτονται συνεχώς, αλλά πώς αναφέρονται σε προγραμματιστές και πώς οι hackers μάθουν για τα τρωτά σημεία που μπορούν να εκμεταλλευτούν; Διαβάστε περισσότερα, η SkyCure επικοινωνήθηκε πρώτα με την Google πριν την κυκλοφορήσει στο κοινό, ώστε να τους δώσει τη δυνατότητα να το διορθώσουν. Η ομάδα ασφαλείας της Google για το Android αποφάσισε να μην διορθώσει το πρόβλημα και να δεχτεί τον κίνδυνο ως συνέπεια του τρέχοντος σχεδίου.
Για να μετριάσει την απειλή, η SkyCure συνιστά στους χρήστες να εκτελούν μια ενημερωμένη έκδοση μιας λύσης για την άμυνα κινητών απειλών. Αυτοί προστατεύονται προληπτικά από απειλές, όπως ένα IPS (Intrusion Protection System) ή το IDS (Σύστημα ανίχνευσης εισβολών). Εντούτοις, προορίζονται με συντριπτική πλειοψηφία για τους χρήστες των επιχειρήσεων και είναι πολύ πέρα από τα μέσα των περισσότερων οικιακών χρηστών.
Η SkyCure συνιστά στους εγχώριους χρήστες να προστατεύονται εξασφαλίζοντας ότι κάνουν λήψη εφαρμογών μόνο από αξιόπιστες πηγές Είναι ασφαλές να εγκαταστήσετε εφαρμογές Android από άγνωστες πηγές; Είναι ασφαλές να εγκαταστήσετε εφαρμογές Android από άγνωστες πηγές; Το Google Play Store δεν είναι η μόνη πηγή εφαρμογών σας, αλλά είναι ασφαλές να ψάχνετε αλλού; Διαβάστε περισσότερα, όπως το Google Play Store. Επίσης, συνιστά οι συσκευές να τρέχουν μια ενημερωμένη έκδοση του Android, αν και δεδομένης της κατακερματισμένης έκδοσης Android και των εξελισσόμενων από τον μεταφορέα ενημερώσεων. Γιατί δεν έχει ενημερωθεί το Android Phone μου ακόμα; Γιατί δεν έχει ενημερωθεί το Android Phone μου ακόμα; Η διαδικασία ενημέρωσης Android είναι μακρά και περίπλοκη. ας το εξετάσουμε για να μάθουμε ακριβώς γιατί το τηλέφωνό σας Android διαρκεί τόσο πολύ ώστε να ενημερωθεί. Διαβάστε περισσότερα, αυτό είναι πιο εύκολο να αναφερθεί παρά να γίνει.
Αξίζει να σημειωθεί ότι το Marshmallow - η πιο πρόσφατη έκδοση του Android - απαιτεί από τους χρήστες να δημιουργήσουν χειροκίνητα και ειδικά μια επικάλυψη συστήματος, αλλάζοντας τα δικαιώματα για αυτήν την εφαρμογή. Ενώ αυτό το είδος ευπάθειας θα μπορούσε ενδεχομένως να επηρεάσει τις συσκευές που εκτελούν Marshmallow, στην πραγματικότητα αυτό δεν πρόκειται να συμβεί, καθώς είναι πολύ πιο δύσκολο να εκμεταλλευτεί.
Κάνοντας τα πάντα στο περιθώριο
Η SkyCure έχει εντοπίσει έναν επικίνδυνο και βιώσιμο τρόπο για έναν εισβολέα να κυριαρχήσει τελείως σε μια συσκευή Android. Παρόλο που είναι τρομακτικό, αξίζει να θυμάστε ότι πολλές κάρτες πρέπει να καταλήξουν σε μια επίθεση που βασίζεται σε αυτό για να λειτουργήσει.
Ο επιτιθέμενος είτε πρέπει να κάνει ένα από τα δύο πράγματα. Μια τέτοια τακτική θα ήταν η ανάπτυξη της αίτησής τους στο Google Play Store - με τη σειρά τους παρακάμπτοντας τις εξαιρετικά σθεναρές διαδικασίες στατικής ανάλυσης και ανίχνευσης απειλών. Αυτό είναι εξαιρετικά απίθανο. Έξι χρόνια από το άνοιγμα, και εκατομμύρια εφαρμογές αργότερα, η Google έχει πάρει εξαιρετικά καλά στην αναγνώριση κακόβουλου λογισμικού και ψευδούς λογισμικού. Σε αυτό το σημείο, έτσι έχει η Apple, αν και η Microsoft έχει ακόμα πολύ δρόμο.
Εναλλακτικά, οι επιτιθέμενοι θα πρέπει να πείσουν έναν χρήστη να εγκαταστήσει το τηλέφωνό του για να δεχθεί λογισμικό από μη επίσημες πηγές και να εγκαταστήσει μια κατά τα άλλα άγνωστη εφαρμογή. Δεδομένου ότι είναι απίθανο να βρεθεί ένα μεγάλο κοινό, θα απαιτηθεί από τους επιτιθέμενους είτε να διαλέξουν έναν στόχο και να «φωνάζουν» τους.
Παρόλο που αυτό θα είναι αναπόφευκτα ένας εφιάλτης για τα εταιρικά τμήματα πληροφορικής, θα είναι λιγότερο πρόβλημα για τους συνηθισμένους οικιακούς χρήστες, η συντριπτική πλειοψηφία των οποίων λαμβάνει τις εφαρμογές τους από μία και μόνο επίσημη πηγή - το Google Play Store.
Image Credit: Σπασμένο λουκέτο από τον Ingvar Bjork μέσω του Shutterstock