התקפת Cloak & Dagger נגד מכשירי אנדרואיד
מאת:
מערכת Telecom News, 7.6.17, 00:59
ההתקפה מאפשרת לפוגען ניצול ממשק המשתמש להשגת שליטה מלאה על המכשיר, וזאת בעזרת 2 הרשאות בלבד. מה מומלץ לעשות?
לאחרונה פורסמו פרטי תקיפה המכונה
Cloak & Dagger נגד ממשק המשתמש של מכשירי אנדרואיד מכל הגרסאות. ההתקפה מאפשרת לפוגען ניצול ממשק המשתמש להשגת שליטה מלאה על המכשיר, וזאת בעזרת 2 הרשאות בלבד.
מאחר שמדובר בניצול ההתנהגות המתוכננת של ממשק המשתמש, כרגע אין מענה מערכתי לתקיפה זו. מענה חלקי יינתן רק בגרסה הבאה של אנדרואיד.
ההרשאות הנדרשות ליישום התקיפות השונות הן:
SYSTEM_ALERT_WINDOW ("draw on top")
BIND_ACCESSIBILITY_SERVICE ("a11y")
הרשאות אלו מאפשרות ליישום כתיבה מעל כל מסך אחר והתחברות לערוץ המזין אירועי ממשק משתמש עבור משתמשים בעלי מגבלת ראייה.
ההרשאות הנ"ל יכולות להינתן ללא ידיעת המשתמש לתוכנות, שהותקנו מחנות היישומים של גוגל
Google Play. למעשה, החל מגרסת אנדרואיד 6, אחת מהן
("draw on top") ניתנת אוטומטית לכל יישום, שהותקן מהחנות.
ניתן לנצל הרשאות אלו אחת מהן או שתיהן יחד לביצוע התקפות מסוגים שונים כגון:
הקלטת הקלדות המשתמש כולל סיסמאות
.Pin Codes
הטעיית המשתמש להקליק על פעולה מסוימת הנחזית על המסך, כאשר למעשה מבוצעת פעולה אחרת.
פתיחת המכשיר וביצוע פעולות כלשהן כאשר המסך כבוי.
גניבת נתוני הזדהות עבור מערכות הזדהות חזקה.
התקנת יישום בעל הרשאות בלתי מוגבלות.
ניתן לנטרל הרשאות אלו באופן ידני עבור יישומים, אך נטרול ההרשאות עלול לפגוע בחוויית המשתמש.
המלצות:
מומלץ להתקין יישומים אך ורק מחנות היישומים הרשמית של גוגל, ממקורות אמינים, ולבדוק היטב אלו הרשאות היישום דורש. אם נראה, שהיישום דורש הרשאות, שאינן מתאימות או רחבות מדי, או את 2 ההרשאות הנ"ל יחד, כדאי לשקול להימנע מהתקנתו.
יש לשקול לנטרל ההרשאות הנ"ל מיישומים שבשימושכם, למרות הפגיעה בחוויית המשתמש.
פרטים נוספים על התקיפה וכיצד ניתן לנטרל הרשאות אלו עבור יישומים בגרסאות שונות של אנדרואיד, ניתן למצוא -
כאן.