Nie masz Androida Oreo? Uważaj na złośliwe „tosty” na ekranie

W teorii Android chroni przed takimi atakami. Po pierwsze,uzłośliwione aplikacje muszą przejść przez filtry sklepu GooglePlay (co wcale nie jest łatwe) lub też napastnik musi znaleźćsposób by nakłonić ofiarę do instalacji oprogramowania spozasklepu. Gdy aplikacja znajdzie się już na urządzeniu, musi uzyskaćod użytkownika uprawnienie do wyświetlania się nad innymiaplikacjami (Draw over other apps).

Niestety jednak jest luka, którą można wykorzystać do obejściatego zabezpieczenia. Chodzi o tzw. tosty (Toasts),tj. niewielkie wyskakujące widoki, zawierające szybką wiadomośćdla użytkownika. Po pierwsze, takie tosty nie są ograniczane przezwspomniane wyżej uprawnienie, po drugie okazało się, że możnastworzyć spersonalizowany widok takiego powiadomienia, także taki,który przesłoni cały ekran i będzie funkcjonalnym jegoodpowiednikiem.

Odkrycie ekspertów z Unit 42 bazuje na pracyCloak and Dagger: From Two Permissions to Complete Control of theUI Feedback Loop, gdzie dokładnie przebadano możliwościoferowane przez nadużycie uprawnień SYSTEM_ALERT_WINDOW iBIND_ACCESIBILITY_SERVICE – pokazano tam, jak całkowicie przejąćza ich pomocą kontrolę nad pętlą sprzężenia zwrotnegointerfejsu użytkownika, modyfikując to co widzi, wstrzykującfałszywe dane, a wszystko to przy zachowaniu oczekiwanychdoświadczeń i niewzbudzaniu podejrzeń.

Jak wspominaliśmy, na atak „tostem” podatne są wszystkiewersje Androida za wyjątkiem najnowszej 8.0 Oreo, której przecieżnikt jeszcze prawie nie ma. Na szczęście Google załatało już tęlukę, oznaczoną jako CVE-2017-0752) we wrześniowych biuletynachbezpieczeństwa (2017-09-01patch level) dla Androida w wersjach od 4.4.4 do 7.1.2.

Jeśli korzystacie z Lineage OS, niezależnej dystrybucjiAndroida, to ostatnie jej kompilacje z 8 września zawierająwspomniane biuletyny. W przypadku pozostałych urządzeń, niewspieranych bezpośrednio przez Google (tj. Nexusów i Pixeli) –wszystko zależy od producenta.