27/05/2017

27/05/2017

Cloak and Dagger - nova falha de segurança no Android


Investigadores demonstraram um novo ataque que se aproveita do facto do Android ainda permitir que as apps instaladas via Play Store tenham automaticamente acesso a escrever sobre o ecrã, para poderem controlar o smartphone e roubar dados sem que o utilizador se aperceba disso.


Este ataque Cloak and Dagger ("capa e espada") recorre às permissões SYSTEM ALERT WINDOW (que permitem desenhar sobre o ecrã) e BIND ACCESSIBILITY SERVICE, que usa as funções de acessibilidade para interceptar acções feitas no dispositivo. A primeira permissão é a mais problemática, pois é a que é dada automaticamente sem que seja perguntado ao utilizador, a apps que sejam instaladas da Play Store - sendo que a segunda, terá que ser dada pelo utilizador, cabendo à app apresentar um motivo suficientemente convincente para que seja aprovada, ou enganando-o, usando a funcionalidade anterior que permite à app ter controlo total sobre o que aparece no ecrã.

Esta técnica permite até que a app maliciosa consiga desbloquear um smartphone e simular a interacção com outras apps, mantendo o ecrã desligado; dificultando o processo de saber que algo de errado se passa.

O próximo Android O deverá resolver esta questão proibindo as apps de desenharem sobre elementos do sistema, mas até lá ninguém está livre de apanhar uma destas apps. Sendo que convirá verificarem que apps têm acesso a estas permissões:
  • Android 7.1.2:
    • "draw on top" permission: Settings → Apps → "Gear symbol" (top-right) → Special access → Draw over other apps.
    • a11y: Settings → Accessibility → Services: check which apps require a11y.
  • Android 6.0.1:
    • "draw on top" permission: Settings → Apps → "Gear symbol" (top-right) → Draw over other apps.
    • a11y: Settings → Accessibility → Services: check which apps require a11y.
  • Android 5.1.1:
    • "draw on top" permission: Settings → Apps → click on individual app and look for "draw over other apps"
    • a11y: Settings → Accessibility → Services: check which apps require a11y.

... Esta opção da Google não querer "incomodar" os utilizadores perguntando-lhes pela permissão de desenhar sobre o ecrã para apps da Play Store (que afectaria apps como o Facebook/Messenger com os seus chat heads) ainda lhes vai sair caro....







Publicado originalmente no AadM

0 comments:

Enviar um comentário