První příklad možného útoku - zaznamenávání z vaší klávesnice pomocí neviditelné mřížky (v testech označena červeně)  YouTube

První příklad možného útoku - zaznamenávání z vaší klávesnice pomocí neviditelné mřížky (v testech označena červeně) | YouTube

A další zranitelnost. Zatímco se v klidu díváte na video...  YouTube

A další zranitelnost. Zatímco se v klidu díváte na video... | YouTube

... na pozadí se neviditelně instaluje aplikace...  YouTube

... na pozadí se neviditelně instaluje aplikace... | YouTube

...která si sama povolí všechna oprávnění a následně je vstupní branou pro celé převzetí telefonu  YouTube

...která si sama povolí všechna oprávnění a následně je vstupní branou pro celé převzetí telefonu | YouTube

Vypadá to, jako jednoduché přihlášení k mobilnímu Facebooku  YouTube

Vypadá to, jako jednoduché přihlášení k mobilnímu Facebooku | YouTube

Stačí ale chvíle a layout aplikace se změní - v tuto chvíli zadáváte heslo do cizí aplikace, které útočník zjistí v reálném čase  YouTube

Stačí ale chvíle a layout aplikace se změní - v tuto chvíli zadáváte heslo do cizí aplikace, které útočník zjistí v reálném čase | YouTube

A další zranitelnost. Zatímco se v klidu díváte na video...  YouTube
... na pozadí se neviditelně instaluje aplikace...  YouTube
...která si sama povolí všechna oprávnění a následně je vstupní branou pro celé převzetí telefonu  YouTube
Vypadá to, jako jednoduché přihlášení k mobilnímu Facebooku  YouTube
6
Fotogalerie

„Cloak & Dagger“ je nově objevená díra v zabezpečení Androidu

Vývojáři z GIT (Georgia Institute of Technology) v americké Atlantě publikovali zprávu o nově objevené zranitelnosti Androidu. Ta je nazývána jako „Cloak & Dagger“, přičemž využívá návrh Androidu v podobě obrazovek a aktivit k tomu, že se škodlivý software „skrývá“ za neškodnými obrazovkami, notifikacemi a vyskakujícími okny se zdánlivě bezpečným obsahem.

V rámci testování této zranitelnosti byla v několika testovacích smartphonech s Androidem použita „neviditelná“ aplikační vrstva, která např. dokázala snímat znaky, věty a hesla, které jste zadali na systémové klávesnici. Mezi možné útoky podle týmu, jenž chybu objevil, patří clickjacking („neškodné“ kliknutí způsobí akci, kterou uživatel nepředpokládal), zmíněné nahrávání psaných textů nebo tichá instalace škodlivé aplikace se všemi oprávněními.

Pokud se škodlivá aplikace dostane až tohoto stádia, umožní ji to odemknutí telefonu bez vědomí uživatele a následně plnohodnotnou práci s uživatelským rozhraním. Problém je o to nebezpečnější, protože škodlivá aplikace vyžaduje pouze dvě oprávnění. A pokud se aplikace instaluje z Google Play, jsou tato oprávnění telefonem automaticky povolena.

Chyba, která byla objevena již v srpnu loňského roku, je přítomna ve všech verzích Androidu, včetně nejnovějšího Androidu Nougat 7.1.2. Dokud Google zranitelnost neopraví, je nejlepší radou vyvarovat se instalací podezřelých aplikací z Google Play. Před stažením aplikace si minimálně přečtěte poslední názory ostatních uživatelů, a dbejte zvýšené pozornosti nad oprávněními, které po vás aplikace vyžadují.

Demo ukázky možných útoků:

Zdroj Techcrunch, cloack-and-dagger

Určitě si přečtěte

Články odjinud