Mantel og dolk android utnytter: stjeler passord og logger tastetrykk

Forskere ved Georgia Institute of Technology og University of California, Santa Barbara, har gitt ut en rapport som sier om flere sårbarheter som er funnet med operativsystemene Android Lollipop, Marshmallow og Nougat.

I følge forskerne har ondsinnede apper muligheten til å utnytte to tillatelser i Play Store - "trekningen på toppen" og "tilgjengelighetstjenesten".

Brukere kan bli angrepet ved å bruke en av disse sårbarhetene eller begge deler. Angriperen kan klikkejakke, registrere tastetrykk, stjele sikkerhets-PIN for enheten, sette inn adware i enheten og også dampe tofaktors autentiseringstokener.

Les også: 5 tips for å forhindre at Android-enheten din blir truffet av Ransomware.

“Cloak & Dagger er en ny klasse av potensielle angrep som påvirker Android-enheter. Disse angrepene lar en ondsinnet app fullstendig kontrollere brukergrensesnittet for tilbakemelding og overta enheten, uten å gi brukeren en sjanse til å legge merke til den ondsinnede aktiviteten, sier forskerne.

Denne sårbarheten hadde blitt eksponert tidligere for

Tidligere denne måneden hadde vi rapportert om en lignende uoppdaget sårbarhet i Android-operativsystemet som ville bruke "System_Alert_Window" -tillatelsen som brukes til å "trekke på toppen".

Tidligere måtte denne tillatelsen - System_Alert_Window - gis manuelt av brukeren, men med bruk av apper som Facebook Messenger og andre som bruker popup-vinduer på skjermen, gir Google den som standard.

Selv om sårbarheten, hvis den utnyttes, kan føre til et fullverdig ransomware- eller adware-angrep, vil det ikke være lett for en hacker å sette i gang.

Denne tillatelsen er ansvarlig for 74% av ransomware, 57% av adware og 14% av angripere av skadelig programvare på Android-enheter.

Alle appene du laster ned fra Play Store, skannes etter ondsinnede koder og makroer. Så angriperen må omgå Googles innebygde sikkerhetssystem for å få innpass i app-butikken.

Google oppdaterte nylig også sitt mobile operativsystem med et ekstra lag med sikkerhet som skanner gjennom alle appene som lastes ned til enheten via Play Store.

Bruker du Android Safe akkurat nå?

Ondsinnede apper som lastes ned fra Play Store, får de to nevnte tillatelsene automatisk, noe som gjør at en angriper kan skade enheten din på følgende måter:

• Invisible Grid Attack: Angriperen trekker over et usynlig overlegg på enheten, slik at de kan logge tastetrykk.
• Å stjele PIN-koden til enheten og bruke den i bakgrunnen selv når skjermen er slått av.
• Injiserer adware i enheten.
• Utforske nettet og phishing stealthily.

Forskerne tok kontakt med Google om sårbarhetene som ble funnet, og har bekreftet at selv om selskapet har implementert rettelser, er de ikke idiotsikre.

Oppdateringen deaktiverer overlegg, som forhindrer det usynlige rutenettangrepet, men Clickjacking er fremdeles en mulighet da disse tillatelsene kan låses opp av en ondsinnet app ved å bruke telefonopplåsingsmetoden, selv når skjermen er slått av.

Google-tastaturet har også mottatt en oppdatering som ikke forhindrer logging av tastetrykk, men sikrer at passord ikke blir lekket som når du legger inn verdi i et passordfelt. Nå logger tastaturet passord som et punktum i stedet for selve tegnet.

Men det er en vei rundt dette også som kan utnyttes av angriperne.

"Siden det er mulig å oppgi widgetene og hashkodene deres som er designet for å være pseudo-unike, er hashkodene nok til å bestemme hvilken tastaturknapp som faktisk ble klikket av brukeren, " påpekte forskerne.

Les også: 13 kule kommende Android-funksjoner avduket av Google.

Alle sårbarhetene som forskningen har funnet ut, er fremdeles utsatt for et angrep selv om den siste versjonen av Android mottok en sikkerhetsoppdatering 5. mai.

Forskerne sendte inn en app til Google Play Store som krevde de to nevnte tillatelsene og viste tydelig ondsinnet hensikt, men den ble godkjent og er fremdeles tilgjengelig i Play Store. Dette viser at Play Store-sikkerheten ikke fungerer så bra.

Hva er det beste alternativet for å holde deg trygg?

Det er det beste alternativet å sjekke og deaktivere begge tillatelsene manuelt for en appustet app som har tilgang til en eller begge av dem

Slik kan du sjekke hvilke apper som har tilgang til disse to 'spesielle' tillatelsene på enheten din.

• Android Nougat: “ draw on top” - Innstillinger -> Apps -> 'Gear symbol (øverst til høyre) -> Spesiell tilgang -> Draw over andre apper

  'a11y': Innstillinger -> Tilgjengelighet -> Tjenester: sjekk hvilke apper som krever a11y.

• Android Marshmallow: “draw on top” - Innstillinger -> Apps -> “Gear symbol” (øverst til høyre) -> Draw over andre apper.

  a11y: Innstillinger → Tilgjengelighet → Tjenester: sjekk hvilke apper som krever a11y.

• Android Lollipop: “draw on top” - Innstillinger -> Apps -> klikk på individuell app og se etter “draw over other apps”

  a11y: Innstillinger -> Tilgjengelighet -> Tjenester: sjekk hvilke apper som krever a11y.

Google vil tilby ytterligere sikkerhetsoppdateringer for å løse problemene som forskerne har funnet.

Les også: Slik fjerner du Ransomware fra telefonen.

Selv om flere av disse sikkerhetsproblemene vil bli fikset av følgende oppdateringer, er problemer rundt "draw on top" -stillatelsen der for å holde seg til Android O er utgitt.

Sikkerhetsrisikoer på internett vokser i stor skala, og for øyeblikket er den eneste måten å beskytte enheten din på å installere en pålitelig antivirusprogramvare og være en årvåkenhet.