Pesquisadores do Georgia Institute of Technology e da UC Santa Barbara descobriram uma nova exploração do Android que afeta todas as versões do sistema operacional. O exploit é apelidado de Cloak and Dagger e é visto como uma nova classe de ataques potenciais que visam o sistema operacional móvel do Google.
As façanhas de manto e adaga em detalhes
Ataques baseados em Cloak and Dagger permitem que aplicativos maliciosos roubem informações confidenciais, criando um aplicativo específico que só precisa definir duas permissões. Essas permissões são SERVIÇO DE ACESSIBILIDADE BIND (“a11y”) e JANELA DE ALERTA DO SISTEMA (“desenhar em cima”). Esses ataques abusam de um ou de ambos SYSTEM_ALERT_WINDOW (“desenhar em cima”) e BIND_ACCESSIBILITY_SERVICE (“a11y”), os pesquisadores explicam.
Como já mencionado, esses ataques só precisam de duas permissões para ocorrer, e caso o aplicativo seja instalado por meio da Play Store, a vítima potencial não precisa concedê-los. O estudo do usuário dos pesquisadores indica que os ataques são práticos, o que significa que afetam todas as versões recentes do Android, andróide 7.1.2 inclusivo.
Conceitualmente, “Cloak and dagger” é a primeira classe de ataques a comprometer com sucesso e completamente o ciclo de feedback da IU. Em particular, mostramos como podemos modificar o que o usuário vê, detectar a entrada / reação à exibição modificada, e atualizar a tela para atender às expectativas do usuário. similarmente, podemos falsificar a entrada do usuário, e ainda consegue mostrar ao usuário o que ele espera ver, em vez de mostrar a eles o sistema respondendo à entrada injetada.
Mesmo que não seja tão simples enganar os usuários para habilitar permissões de acessibilidade, os atacantes ainda podem ter sucesso. Assim que as permissões estiverem ativadas, invasores são capazes de instalar software malicioso, coletar dados de aplicativos instalados, e, eventualmente, assumir o controle total sobre o dispositivo Android específico. A pior parte é que o usuário não saberá o que está acontecendo no fundo de seu dispositivo.
“Em particular, demonstramos como esse aplicativo pode lançar uma variedade de dispositivos furtivos, ataques poderosos, variando de roubar credenciais de login do usuário e PIN de segurança, para a instalação silenciosa de um aplicativo de modo Deus com todas as permissões habilitadas, deixando a vítima completamente desavisada,” os pesquisadores anotam em seus relatório.
O Google corrigiu as explorações e emitiu uma declaração
Do lado do Google, a empresa já tomou medidas contra a exploração. Há também uma declaração oficial explicando suas contramedidas para corrigir as versões afetadas, incluindo Android 7.1.2, O lançamento mais recente do Google.
“Temos estado em contato próximo com os pesquisadores e, como sempre, Agradecemos seus esforços para ajudar a manter nossos usuários mais seguros. Atualizamos o Google Play Protect - nossos serviços de segurança em todos os dispositivos Android com o Google Play - para detectar e impedir a instalação desses aplicativos. Antes deste relatório, já havíamos construído novas proteções de segurança no Android O que fortalecerão ainda mais nossa proteção contra esses problemas daqui para frente,”Afirmou o Google.