Como os serviços de acessibilidade android pode ser usado para cortar o seu telefone

Diz-se que a estrada para o inferno está cheio de boas intenções. Você pode fazer alguma coisa com as extremidades mais magnânimos, mas se você não tiver cuidado, tudo pode ir horrivelmente errado, incrivelmente rapidamente.

A vulnerabilidade de segurança em serviços de acessibilidade do Android - descoberto por SkyCure pesquisador de segurança Yair Amit - é um grande exemplo disso. Ao explorar uma falha na ferramenta que permite que os indivíduos cegos e deficientes visuais a usar dispositivos Android, um invasor pode ganhar o controle do dispositivo, no processo de aquisição de privilégios elevados, e aproveitando o acesso aos arquivos armazenados nele.

Vamos dar uma olhada, e descubra como você pode impedir que isso aconteça.

Compreender a Flaw

A exploração se baseia em pesquisas anteriores por SkyCure, publicada na conferência RSA deste ano. A pesquisa explorou como, através da criação de aplicações que podem tirar mais de outros, e por sua vez lançar o built-in serviços de acessibilidade (melhorias na interface de utilizador concebido para ajudar os utilizadores com deficiência), você pode introduzir vários tipos de comportamento maligno, como demonstrado no vídeo abaixo.

Video: Acessibilidade Android - Review acessibilidade Motorola Moto G com android 4.3

Como prova de conceito-, SkyCure criou um jogo baseado na popular série de televisão Rick e Morty, o que realmente lança um serviço de acessibilidade malicioso, tudo sem que o usuário perceba.

Ao descrever a ameaça original, SkyCure diz que poderia ser usado para “dar um hacker malicioso permissões virtualmente ilimitado ao seu malware”. Uma aplicação potencial para o ataque, SkyCure diz, é implantar ransomware. Ele também poderia ser usado para compor e-mails corporativos e documentos via dispositivo do usuário, bem persistentemente monitorar a atividade dispositivo.

Este tipo de ataque tem um nome - clickjacking, ou menos comumente um “ataque reparação UI”. OWASP (o projeto de segurança de aplicativos Open Web) define clickjacking como quando “um atacante usa múltiplas camadas transparentes ou opacas para enganar um usuário a clicar em um botão ou link em outra página quando eles tinham a intenção de clicar na página de nível superior”.

Video: desativar talkback

A partir de Lollipop Android (5.x), o Google adicionou uma solução que, em teoria, teria feito este tipo de ataque impossível. A alteração introduzida pelo Google significava que, se um usuário queria ativar os serviços de acessibilidade, o botão OK não poderia ser coberta por uma folha de prova, impedindo um atacante de lançá-los em segredo.

Para referência, este é o que parece quando você lançar um serviço de acessibilidade manualmente. Como você pode ver, o Google é muito explícito sobre as permissões necessárias para Android. Isto irá dissuadir muitos usuários de instalar serviços de acessibilidade em primeiro lugar.Como App permissões funcionam & Por que você deve se importar [Android]Como App permissões funcionam & Por que você deve se importar [Android]forças apps Android para declarar as permissões de que necessitam quando instalá-las. Você pode proteger a sua privacidade, segurança e conta de telefone celular, prestando atenção às permissões ao instalar aplicativos - embora muitos usuários ...consulte Mais informação

Video: Como desativar o recurso de acessibilidade talkback

Como derrotar Proteções do Google

Yair Amit, no entanto, foi capaz de encontrar uma falha na abordagem do Google.

“Eu estava em um hotel quando ocorreu-me que, embora a porta do hotel principalmente bloqueado minha visão do corredor fora, havia um olho mágico que não estava bloqueando a vista. Esta foi a minha epifania que me levou a pensar que, se houvesse um buraco na sobreposição, o botão OK poderia ser `principalmente coberta` e ainda aceitar um toque na potencialmente muito pequena área que não foi coberto, ultrapassando assim a nova proteção e ainda escondendo a verdadeira intenção do usuário “.

Video: Acessibilidade Android - Demonstração do leitor de telas Shine Plus



Para testar essa idéia, SkyCure desenvolvedor de software Elisha Eshed modificou o jogo Rick e Morty, que foi usado no original explorar prova-de-conceito. Eshed criado um pequeno buraco na sobreposição, que estava disfarçado como um item de jogo, mas era realmente o botão de confirmação sobre o serviço de acessibilidade. Quando o usuário clicar no item de jogo, foi lançado o serviço, e com ele, todo o comportamento indesejável.

Enquanto o original exploit trabalhou contra dispositivos de praticamente todos Android em execução KitKat Android e anteriores, esta abordagem aumenta o número de dispositivos exploráveis ​​para incluir aqueles que executam Android 5.0 Lollipop. Como consequência, os dispositivos Android quase todos ativos são vulneráveis ​​a este ataque. SkyCure estima que até 95,4% dos dispositivos Android podem ser afetados.É oficial: Nexus 5 e Android 4.4 KitKat está aquiÉ oficial: Nexus 5 e Android 4.4 KitKat está aquiO Nexus 5 está agora à venda na Google Play Store e ele está correndo o novo Android 4.4 KitKat, que também será lançando para outros dispositivos "nas próximas semanas."consulte Mais informação

Atenuantes contra ele

De acordo com procedimentos de divulgação responsáveis ​​sensíveis, SkyCure contactado primeiro Google antes de liberá-lo ao público, de modo a dar-lhes uma oportunidade de corrigi-lo. Equipe de segurança do Google Android decidiram não corrigir o problema, e aceitar o risco, como consequência do desenho atual.

Para mitigar a ameaça, SkyCure recomendam que os usuários executam uma versão atualizada de uma solução de defesa contra ameaças móveis. Estes defender proativamente contra ameaças, bem como um (sistema de Intrusion Protection) IPS ou IDS (Intrusion Detection System) faz. No entanto, eles são esmagadoramente destinada a usuários corporativos, e estão muito além dos meios da maioria dos usuários domésticos.

SkyCure recomendar usuários domésticos proteger-se, garantindo que baixar aplicativos apenas a partir de fontes confiáveis, tais como a Play Store do Google. Ele também recomenda que os dispositivos executar uma versão atualizada do Android, embora dado o ecossistema Android fragmentado e processo actualizações conduzido de portadoras, Isto é mais fácil dizer do que fazer.É seguro para instalar aplicativos Android a partir de fontes desconhecidas?É seguro para instalar aplicativos Android a partir de fontes desconhecidas?O Play Store Google não é a sua única fonte de aplicativos, mas é seguro para procurar em outro lugar?consulte Mais informação

AndroidUnknownSources-Unknown-Fontes de alerta

É interessante notar que Marshmallow - a última versão do Android - exige que os usuários criar manualmente e, especificamente, uma sobreposição de sistema alterando as permissões para esse aplicativo. Embora este tipo de vulnerabilidade poderia afetar dispositivos que executam Marshmallow, na realidade isso não vai acontecer, porque é significativamente mais difícil de explorar.

Colocar tudo em contexto

SkyCure identificaram um caminho perigoso e viável para um atacante para dominar completamente um dispositivo Android. Embora seja assustador, vale a pena lembrar-se de que um monte de cartões tem que cair no lugar para um ataque baseado em que ele funcione.

O atacante quer tem que fazer uma de duas coisas. Uma tática seria para implantar a sua aplicação para a Google Play Store - por sua vez, ignorando seus procedimentos de análise estática e detecção de ameaças extremamente vigorosos. Isso é extremamente improvável. Seis anos desde a abertura, e milhões de aplicações depois, o Google ficou extremamente bom em identificar malware e software falso. Sobre este ponto, por isso tem a Apple, embora a Microsoft ainda tem um longo caminho a percorrer.

Alternativamente, os atacantes terão que convencer um usuário a configurar o seu telefone para aceitar software de fontes não-oficiais, e para instalar uma aplicação de outra maneira desconhecido. Como isso é improvável para encontrar um grande público, ele vai exigir que os atacantes quer escolher um alvo e ‘phish lança-los`.

Enquanto isso irá inevitavelmente ser um pesadelo para os departamentos de TI corporativos, vai ser menos de um problema para usuários domésticos comuns, a grande maioria dos que começar suas aplicações a partir de uma única fonte, oficial - na Google Play Store.


Artigos relacionados