Viitta ja tikari android hyödyntävät: varastaa salasanan ja kirjaa näppäinpainalluksia

Georgian teknillisen korkeakoulun ja Kalifornian yliopiston Santa Barbaran tutkijat ovat julkaissut raportin, joka sisältää useita Android Lollipop-, Marshmallow- ja Nougat-käyttöjärjestelmien havaittuja haavoittuvuuksia.

Tutkijoiden mukaan haitallisilla sovelluksilla on mahdollisuus hyödyntää kahta Play Kaupan käyttöoikeutta - 'piirtää päälle' ja 'esteettömyyspalvelu'.

Käyttäjiä voidaan hyökätä käyttämällä jompaa kumpaa näistä haavoittuvuuksista tai molempia. Hyökkääjä voi napsauttaa ja tallentaa näppäinpainalluksia, varastaa laitteen suojaus-PIN-koodin, lisätä mainosohjelmia laitteeseen ja myös höyrystää kaksikerroisia todennuslomakkeita.

Lue myös: 5 vinkkiä Ransomware estää Android-laitteen saamista osumista.

”Cloak & Dagger on uusi luokka mahdollisia hyökkäyksiä, jotka vaikuttavat Android-laitteisiin. Nämä hyökkäykset antavat haittaohjelmille mahdollisuuden hallita käyttöliittymän palautteen silmukkaa kokonaan ja ottaa laitteen haltuun, antamatta käyttäjälle mahdollisuutta havaita haitallista toimintaa ”, tutkijat huomauttivat.

Tämä haavoittuvuus oli paljastunut aiemmin

Aiemmin tässä kuussa olimme ilmoittaneet vastaavasta korjaamattomasta haavoittuvuudesta Android-käyttöjärjestelmässä, joka käyttäisi 'System_Alert_Window' -lupaa, jota käytettiin 'piirtämään päälle'.

Aikaisemmin käyttäjän oli annettava tämä lupa - System_Alert_Window - manuaalisesti, mutta Google Messenger ja muut näytön ponnahdusikkunoita käyttävät sovellukset, kuten Google Messenger, myöntävät sen oletuksena.

Vaikka haavoittuvuus, jos sitä käytetään hyväksi, voi johtaa täysimääräiseen lunastus- tai mainosohjelmahyökkäykseen, hakkerin ei ole helppoa aloittaa sitä.

Tämä lupa on vastuussa 74% lunasohjelmista, 57% mainosohjelmista ja 14% pankkiirien haittaohjelmahyökkäyksistä Android-laitteissa.

Kaikki Play Kaupasta lataamasi sovellukset tarkistetaan haittaohjelmien ja makrojen varalta. Joten hyökkääjän on kiertävä Googlen sisäänrakennettua turvajärjestelmää päästäkseen sisään sovelluskauppaan.

Google päivitti äskettäin myös mobiili käyttöjärjestelmänsä ylimääräisellä suojaustasolla, joka skannaa kaikki sovellukset, jotka ladataan laitteelle Play Kaupan kautta.

Käyttääkö Android nyt turvallista?

Play Kaupasta ladatut haittaohjelmat saavat kaksi edellä mainittua lupaa automaattisesti, mikä antaa hyökkääjän vahingoittaa laitettasi seuraavilla tavoilla:

• Näkymätön ruudukkohyökkäys: Hyökkääjä vetää näkymättömän peittokuvan laitteelle, jolloin hän voi kirjata näppäinpainalluksia.
• Laitteen PIN-koodin varastaminen ja käyttäminen taustalla, vaikka näyttö olisi pois päältä.
• Mainosohjelmien injektointi laitteeseen.
• Internetin etsiminen ja tietojenkalastelu salaa.

Tutkijat ottivat Googleen yhteyttä löydetyistä haavoittuvuuksista ja vahvistivat, että vaikka yritys on ottanut käyttöön korjauksia, ne eivät ole tyhjäkäyttöisiä.

Päivitys poistaa peittokuvat, mikä estää näkymättömän ruudukkohyökkäyksen, mutta Clickjacking on silti mahdollisuus, koska haittaohjelma voi avata nämä oikeudet puhelimen lukituksen avausmenetelmällä, vaikka näyttö olisi pois päältä.

Google-näppäimistö on myös vastaanottanut päivityksen, joka ei estä näppäinpainalluksen kirjaamista, mutta varmistaa, että salasanoja ei vuoda kuten aina, kun syötetään arvoa salasanakenttään, nyt näppäimistö kirjaa salasanat pisteinä todellisen merkin sijasta.

Mutta myös tähän on tapa, jota hyökkääjät voivat hyödyntää.

"Koska on mahdollista luetella widgetit ja niiden hash-koodit, jotka on suunniteltu näennäis-ainutlaatuisiksi, hash-koodit riittävät sen määrittämiseen, mitä näppäimistön painiketta käyttäjä todella napsautti", tutkijat huomauttivat.

Lue myös: 13 hienoa tulevaa Android-ominaisuutta, jotka Google on paljastanut.

Kaikki tutkimuksen havaitsemat haavoittuvuudet ovat edelleen alttiita hyökkäyksille, vaikka Androidin uusin versio sai suojauskorjauksen 5. toukokuuta.

Tutkijat lähettivät Google Play Kauppaan sovelluksen, joka edellytti kahta edellä mainittua lupaa ja osoitti selvästi haitallisen aikomuksen, mutta se sai hyväksynnän ja on edelleen saatavana Play Kaupassa. Tämä osoittaa, että Play Kaupan tietoturva ei todellakaan toimi niin hyvin.

Mikä on paras tapa pysyä turvassa?

Paras veto on näiden kahden käyttöoikeuden tarkistaminen ja poistaminen käytöstä epäluotettaville sovelluksille, joilla on pääsy jompaan kumpaan tai molempiin

Näin voit tarkistaa, mitkä sovellukset pääsevät käyttämään näitä kahta laitteen erityisoikeutta.

• Android Nougat: “ piirtää päälle” - Asetukset -> Sovellukset -> 'Vaihdemerkki (oikeassa yläkulmassa) -> Erityinen käyttöoikeus -> Piirrä muihin sovelluksiin

  'a11y': Asetukset -> Esteettömyys -> Palvelut: tarkista, mitkä sovellukset vaativat a11y.

• Android Marshmallow: “piirtää päälle” - Asetukset -> Sovellukset -> “Vaihteen symboli” (ylhäällä oikealla) -> Piirrä muiden sovellusten päälle.

  a11y: Asetukset → Esteettömyys → Palvelut: tarkista, mitkä sovellukset vaativat a11y.

• Android Lollipop: “piirtää päälle” - Asetukset -> Sovellukset -> napsauta yksittäistä sovellusta ja etsi ”piirtää muiden sovellusten yli”

  a11y: Asetukset -> Esteettömyys -> Palvelut: tarkista, mitkä sovellukset vaativat a11y.

Google toimittaa uusia tietoturvapäivityksiä tutkijoiden löytämien ongelmien ratkaisemiseksi.

Lue myös: Tässä on ohjeet kuinka Ransomware poistetaan puhelimesta.

Vaikka useat näistä haavoittuvuuksista korjataan seuraavilla päivityksillä, "piirtä päälle" -lupaa koskevat ongelmat pysyvät voimassa, kunnes Android O julkaistaan.

Internetin tietoturvariskit kasvavat huomattavasti ja tällä hetkellä ainoa tapa suojata laitteesi on asentaa luotettava virustorjuntaohjelma ja olla valppaana.