Hoe Android-toegankelijkheidsservices kunnen worden gebruikt om uw telefoon te hacken
Er wordt gezegd dat de weg naar de hel geplaveid is met goede bedoelingen. Je kunt iets doen met de meest grootmoedige doeleinden, maar als je niet voorzichtig bent, kan het allemaal vreselijk slecht gaan, ongelooflijk snel.
Een beveiligingsrisico in Android Accessibility Services - ontdekt door SkyCure beveiligingsonderzoeker Yair Amit - is daar een goed voorbeeld van. Door misbruik te maken van de tool die blinde en slechtziende personen in staat stelt Android-apparaten te gebruiken, kan een aanvaller controle over het apparaat krijgen, daarbij verhoogde rechten verkrijgen en toegang krijgen tot de bestanden die erop zijn opgeslagen.
Laten we een kijkje nemen en ontdekken hoe u dit kunt voorkomen.
De fout begrijpen
De exploit bouwt voort op eerder onderzoek van SkyCure, gepubliceerd op de RSA-conferentie van dit jaar. Het onderzoek onderzocht hoe, door applicaties te creëren die andere kunnen overnemen en op zijn beurt de ingebouwde toegankelijkheidsservices te lanceren (verbeteringen in de gebruikersinterface die zijn ontworpen om gebruikers met een handicap te helpen), je verschillende soorten kwaadaardig gedrag kunt introduceren, zoals aangetoond in de video hieronder.
Als proof-of-concept heeft SkyCure een spel gemaakt op basis van de populaire televisieserie Rick en Morty, die daadwerkelijk een kwaadaardige toegankelijkheidsservice lanceert, allemaal zonder dat de gebruiker het merkt.
Bij het beschrijven van de oorspronkelijke dreiging zegt SkyCure dat het kan worden gebruikt om “geef een kwaadwillende hacker vrijwel onbeperkte machtigingen voor zijn malware”. Een mogelijke applicatie voor de aanval, zegt SkyCure, is het gebruik van ransomware. Het kan ook worden gebruikt voor het samenstellen van zakelijke e-mails en documenten via het apparaat van de gebruiker, en voor het permanent bewaken van apparaatactiviteit.
Dit type aanval heeft een naam - clickjacking, of minder vaak een “UI herstelt aanval”. OWASP (het Open Web Application Security Project) definieert clickjacking als wanneer “een aanvaller gebruikt meerdere transparante of ondoorzichtige lagen om een gebruiker te misleiden om op een knop te klikken of op een andere pagina te linken wanneer ze van plan waren op de pagina op het hoogste niveau te klikken”.
Beginnend met Android Lollipop (5.x), heeft Google een oplossing toegevoegd die in theorie een dergelijke aanval onmogelijk zou hebben gemaakt. De door Google geïntroduceerde wijziging betekende dat als een gebruiker toegankelijkheidsservices wilde activeren, de OK-knop niet kon worden afgedekt door een overlay, waardoor een aanvaller ze niet stealth kon lanceren.
Ter referentie, dit is hoe het eruitziet wanneer u handmatig een toegankelijkheidsservice start. Zoals u kunt zien, is Google zeer expliciet over de Android-machtigingen die vereist zijn. Hoe Android-app-machtigingen werken en waarom u moet zorgen hoe Android-app-machtigingen werken en waarom u Android moet dwingen, moet u de toestemmingen declareren die zij vereisen wanneer zij deze installeren. U kunt uw privacy-, veiligheids- en gsm-facturen beschermen door aandacht te besteden aan toestemmingen bij het installeren van apps - hoewel veel gebruikers ... Lees meer. Dit zal veel gebruikers ervan weerhouden om toegankelijkheidsservices te installeren in de eerste plaats.
Hoe je de beveiliging van Google verslaat
Yair Amit was echter in staat om een fout te vinden in de aanpak van Google.
“Ik was in een hotel toen het bij me opkwam dat hoewel de deur van het hotel mijn uitzicht op de gang buiten grotendeels blokkeerde, er een kijkgaatje was dat het uitzicht niet blokkeerde. Dit was mijn openbaring die me deed denken dat als er een gat in de overlay zat, de OK-knop 'grotendeels bedekt' kon zijn en nog steeds een aanraking kon accepteren in het potentieel zeer kleine gebied dat niet was bedekt, waardoor de nieuwe bescherming werd omzeild en nog steeds de ware intentie van de gebruiker verbergen.”
Om dit idee uit te testen, paste SkyCure-softwareontwikkelaar Elisha Eshed het Rick and Morty-spel aan, dat werd gebruikt in de originele exploit-proof-of-concept. Eshed creëerde een klein gaatje in de overlay, dat was vermomd als een spelitem, maar eigenlijk de bevestigingsknop op de toegankelijkheidsservice was. Toen de gebruiker op het spelitem klikte, werd de dienst gelanceerd en daarmee al het ongewenste gedrag.
Terwijl de oorspronkelijke exploit werkte tegen vrijwel alle Android-apparaten met Android KitKat It's Official: Nexus 5 And Android 4.4 KitKat Are Here Het is officieel: Nexus 5 en Android 4.4 KitKat Are Here De Nexus 5 is nu te koop in de Google Play Store en wordt uitgevoerd de gloednieuwe Android 4.4 KitKat, die ook 'in de komende weken' naar andere apparaten zal worden uitgerold. Lees Meer en eerder verhoogt deze aanpak het aantal bruikbare apparaten om degenen met Android 5.0 Lollipop Android 5.0 Lollipop te omvatten: What It Is And When You'll Get It Android 5.0 Lollipop: What It Is And When You'll It Android 5.0 Lollipop is hier, maar alleen op Nexus-apparaten. Wat is er precies nieuw aan dit besturingssysteem en wanneer kunt u verwachten dat het op uw apparaat arriveert? Lees verder . Als gevolg hiervan zijn bijna alle actieve Android-apparaten kwetsbaar voor deze aanval. SkyCure schat dat tot 95,4% van Android-apparaten kan worden beïnvloed.
Mitigating Against It
In overeenstemming met verstandige, verantwoorde openbaarmakingsprocedures Volledige of verantwoorde openbaarmaking: hoe beveiligingskwetsbaarheden worden onthuld Volledige of verantwoorde openbaarmaking: hoe beveiligingszwakheden worden onthuld Beveiligingsproblemen in populaire softwarepakketten worden voortdurend ontdekt, maar hoe worden deze gemeld aan ontwikkelaars en hoe hackers leren over kwetsbaarheden die ze kunnen misbruiken? Lees Meer, SkyCure nam eerst contact op met Google voordat het werd vrijgegeven aan het publiek, om hen de gelegenheid te geven het te repareren. Het Android-beveiligingsteam van Google heeft besloten het probleem niet op te lossen en aanvaardt het risico als gevolg van het huidige ontwerp.
Om de bedreiging tegen te gaan, raadt SkyCure gebruikers aan om een bijgewerkte versie van een verdedigingsoplossing voor mobiele dreigingen te gebruiken. Deze beschermen proactief tegen bedreigingen, net als een IPS (Intrusion Protection System) of IDS (Intrusion Detection System). Ze zijn echter overweldigend gericht op zakelijke gebruikers en zijn ver boven de middelen van de meeste thuisgebruikers.
SkyCure adviseert thuisgebruikers zichzelf te beschermen door ervoor te zorgen dat ze apps alleen downloaden van vertrouwde bronnen Is het veilig om Android-apps te installeren van onbekende bronnen? Is het veilig om Android-apps te installeren vanaf onbekende bronnen? De Google Play Store is niet uw enige bron van apps, maar is het veilig om ergens anders te zoeken? Meer lezen, zoals de Google Play Store. Het raadt ook aan dat apparaten een bijgewerkte versie van Android gebruiken, maar gezien het gefragmenteerde Android-ecosysteem en carrier-driven updates proces. Waarom is mijn Android-telefoon nog niet bijgewerkt? Waarom is mijn Android-telefoon nog niet geüpdatet? Het Android-updateproces is lang en ingewikkeld; laten we het onderzoeken om erachter te komen waarom het zo lang duurt voordat je Android-telefoon is bijgewerkt. Lees meer, dit is gemakkelijker gezegd dan gedaan.
Het is vermeldenswaard dat Marshmallow - de nieuwste versie van Android - vereist dat gebruikers handmatig en specifiek een systeemoverlay maken door de rechten voor die app te wijzigen. Hoewel dit soort kwetsbaarheid van invloed kan zijn op apparaten met Marshmallow, is dat in werkelijkheid niet zo, omdat het aanzienlijk moeilijker te exploiteren is..
Alles in een context plaatsen
SkyCure heeft een gevaarlijke en levensvatbare manier geïdentificeerd voor een aanvaller om een Android-apparaat volledig te domineren. Hoewel het beangstigend is, is het de moeite waard om eraan te herinneren dat veel kaarten op hun plaats moeten vallen voor een aanval op basis daarvan.
De aanvaller moet een van de twee dingen doen. Eén tactiek zou zijn om hun applicatie in de Google Play Store in te zetten - op hun beurt voorbijgaand aan hun uiterst krachtige statische analyse en detectie van bedreigingen. Dit is uiterst onwaarschijnlijk. Zes jaar na de opening en miljoenen applicaties later is Google extreem goed in het identificeren van malware en valse software. Op dat punt is dat ook voor Apple, hoewel Microsoft nog een lange weg te gaan heeft.
Als alternatief moeten aanvallers een gebruiker overtuigen om hun telefoon in te stellen om software uit niet-officiële bronnen te accepteren en om een anders onbekende toepassing te installeren. Aangezien dit waarschijnlijk geen groot publiek zal vinden, moeten de aanvallers een doel kiezen en ze 'speren'.
Hoewel dit onvermijdelijk een nachtmerrie wordt voor zakelijke IT-afdelingen, zal het minder een probleem zijn voor gewone thuisgebruikers, waarvan de overgrote meerderheid hun apps haalt uit één officiële bron - de Google Play Store.
Image Credit: Gebroken hangslot van Ingvar Bjork via Shutterstock
Ontdek meer over: Clickjacking, Google Play, Smartphone-beveiliging.