Det sies at veien til helvete er brolagt med gode intensjoner. Du kan gjøre noe med de mest magiske endene, men hvis du ikke er forsiktig, kan det hele gå forferdelig, utrolig raskt.
Et sikkerhetsproblem i Android Tilgjengelighetstjenester - oppdaget av SkyCure Security Researcher Yair Amit - er et godt eksempel på dette. Ved å utnytte en feil i verktøyet som gjør det mulig for blinde og synshemmede personer å bruke Android-enheter, kan en angriper få kontroll over enheten, i ferd med å anskaffe forhøyede rettigheter, og gripe tilgang til filene som er lagret på den.
La oss ta en titt, og finn ut hvordan du kan stoppe dette.
Forstå feilen
Utnyttelsen bygger på tidligere forskning fra SkyCure, publisert på årets RSA-konferanse. Undersøkelsen undersøkte hvordan ved å skape applikasjoner som kan tegne seg over andre, og i sin tur starte de innebygde tilgjengelighetstjenestene (brukergrensesnittforbedringer som er utformet for å hjelpe brukere med funksjonshemming), kan du introdusere ulike typer ondartet atferd, som vist i video nedenfor.
Som et bevis på konseptet har SkyCure skapt et spill basert på den populære Rick and Morty-tv-serien, som faktisk lanserer en ondsinnet tilgjengelighets tjeneste, alt uten at brukeren merker.
I beskrivelsen av den opprinnelige trusselen sier SkyCure at det kan brukes til å "gi en ondsinnet hacker nesten ubegrenset tillatelse til skadelig programvare". En potensiell applikasjon for angrepet, sier SkyCure, er å distribuere ransomware. Det kan også brukes til å skrive bedriftens e-post og dokumenter via brukerens enhet, og vedvarende overvåke enhetens aktivitet.
Denne typen angrep har et navn - clickjacking, eller mindre vanlig et "UI-rettsangrep". OWASP (Open Web Application Security Project) definerer clickjacking som når "en angriper bruker flere gjennomsiktige eller ugjennomsiktige lag for å lure en bruker til å klikke på en knapp eller en kobling på en annen side når de hadde tenkt å klikke på toppnivåsiden".
Starter i Android Lollipop (5.x), Google la til en løsning som i teorien ville ha gjort denne typen angrep umulig. Forandringen introdusert av Google mente at hvis en bruker ønsket å aktivere tilgjengelighetstjenester, kunne OK-knappen ikke dekkes av et overlegg, slik at en angriper ikke lanserte dem ved hjelp av stealth.
Som referanse er dette slik det ser ut når du starter en tilgjengelighets service manuelt. Som du kan se, er Google veldig eksplisitt om Android-tillatelsene som kreves. Hvordan Android App Tillatelser virker, og hvorfor du bør bry deg. Hvordan Android App-tillatelser fungerer, og hvorfor du bør vare Android-styrker-apps for å deklarere tillatelsene de trenger når de installerer dem. Du kan beskytte personvern, sikkerhet og mobilregning ved å være oppmerksom på tillatelser når du installerer apper - selv om mange brukere ... Les mer. Dette vil avholde mange brukere fra å installere tilgjengelighets tjenester i utgangspunktet.
Hvordan beseire Googles beskyttelse
Yair Amit kunne imidlertid finne en feil i Googles tilnærming.
"Jeg var på et hotell da det skjedde til meg at selv om hotelldøren hovedsakelig sperret visningen av gangen utenfor, var det et kikkehode som ikke blokkerer utsikten. Dette var min epiphany som førte meg til å tenke at hvis det var et hull i overlegget, kunne OK-knappen være 'mest dekket' og fortsatt godta et trykk i det potensielt svært små området som ikke var dekket, og dermed omgå den nye beskyttelsen og gjemmer fortsatt den sanne hensikten fra brukeren. "
For å teste denne ideen, endret SkyCure-programvareutvikleren Elisha Eshed Rick and Morty-spillet, som ble brukt i det opprinnelige bruksbeviset. Eshed opprettet et lite hull i overlegget, som var skjult som et spillobjekt, men var faktisk bekreftelsesknappen på tilgjengelighets tjenesten. Når brukeren klikket på spillvaren, ble tjenesten lansert, og med den, all uønsket oppførsel.
Mens den opprinnelige bruken fungerte mot nesten alle Android-enheter som kjører Android KitKat, er det Offisielt: Nexus 5 og Android 4.4 KitKat er her Det er offisielt: Nexus 5 og Android 4.4 KitKat er her Nexus 5 er nå på salg i Google Play butikken, og den kjører den splitter nye Android 4.4 KitKat, som også ruller ut til andre enheter "i de kommende ukene." Les mer og tidligere øker denne tilnærmingen antallet utnyttbare enheter som inkluderer de som kjører Android 5.0 Lollipop Android 5.0 Lollipop: Hva det er og når du får det Android 5.0 Lollipop: Hva det er og når du får det Android 5.0 Lollipop er her, men bare på Nexus-enheter. Hva er nytt med dette operativsystemet, og når kan du forvente at det kommer på enheten din? Les mer . Som en konsekvens er nesten alle aktive Android-enheter sårbare for dette angrepet. SkyCure anslår at opptil 95, 4% av Android-enheter kan bli påvirket .
Mitigating Against It
I tråd med fornuftige ansvarlige opplysningsrutiner Fullstendig eller ansvarlig avsløring: Hvordan sikkerhetsproblemer blir avslørt Fullstendig eller ansvarlig avsløring: Hvordan sikkerhetsproblemer blir avslørt Sikkerhetsproblemer i populære programvarepakker blir oppdaget hele tiden, men hvordan rapporteres de til utviklere, og hvordan hackere lære om sårbarheter som de kan utnytte? Les mer, SkyCure kontaktet først Google før det ble offentliggjort for å gi dem muligheten til å fikse det. Googles Android Security-team har besluttet å ikke fikse problemet, og aksepterer risikoen som følge av dagens design.
For å motvirke trusselen anbefaler SkyCure at brukere kjører en oppdatert versjon av en mobil trusselforsvarsløsning. Disse forsvarer forsiktig mot trusler, som en IPS (Intrusion Protection System) eller IDS (Intrusion Detection System) gjør. Men de er overveldende rettet mot bedriftsbrukere, og er langt utover de fleste hjemmebrukere.
SkyCure anbefaler at hjemme brukere beskytter seg ved å sørge for at de laster ned apper bare fra klarerte kilder. Er det trygt å installere Android Apps fra ukjente kilder? Er det trygt å installere Android Apps fra ukjente kilder? Google Play Butikken er ikke din eneste kilde til apper, men er det trygt å søke andre steder? Les mer, for eksempel Google Play Butikk. Det anbefaler også at enheter kjører en oppdatert versjon av Android, men gitt det fragmenterte Android-økosystemet og operatørstyrte oppdateringsprosessen Hvorfor har ikke min Android-telefon oppdatert ennå? Hvorfor har ikke min Android-telefon blitt oppdatert ennå? Android-oppdateringsprosessen er lang og komplisert; la oss undersøke det for å finne ut nøyaktig hvorfor din Android-telefon tar så lang tid å oppdatere. Les mer, dette er lettere sagt enn gjort.
Det er verdt å merke seg at Marshmallow - den nyeste versjonen av Android - krever at brukere manuelt og spesifikt lager et systemoverlegg ved å endre tillatelsene for den aktuelle appen. Selv om denne typen sårbarhet muligens kan påvirke enheter som kjører Marshmallow, vil det i virkeligheten ikke skje, da det er betydelig vanskeligere å utnytte.
Setter alt i sammenheng
SkyCure har identifisert en farlig og levedyktig måte for en angriper å dominere en Android-enhet helt. Mens det er skummelt, er det verdt å minne på at mange kort må falle på plass for et angrep basert på det til å fungere.
Angriperen må enten gjøre en av to ting. En taktikk ville være å distribuere søknaden deres til Google Play butikk, og omvendt omgå deres ekstremt kraftige statiske analyser og trusselprosedyrer. Dette er ekstremt usannsynlig. Seks år siden åpningen, og millioner av applikasjoner senere, har Google blitt ekstremt god til å identifisere malware og falsk programvare. På det tidspunktet har Apple også, selv om Microsoft fortsatt har en lang vei å gå.
Alternativt må angriperne overbevise en bruker om å konfigurere telefonen for å godta programvare fra ikke-offisielle kilder, og å installere et ellers ukjent program. Ettersom dette ikke er sannsynlig å finne et stort publikum, vil det kreve at angriperne enten velger et mål og "spyd phish" dem.
Selv om dette uunngåelig vil være et mareritt for bedrifts IT-avdelinger, vil det være mindre et problem for vanlige hjemmebrukere, hvorav de aller fleste får appene sine fra en enkelt offisiell kilde - Google Play-butikken.
Image Credit: Broken hengelås av Ingvar Bjork via Shutterstock