Logo th.androidermagazine.com
Logo th.androidermagazine.com
» ข่าว
ข่าว

ปิดบังและใช้ประโยชน์จากกริช: สิ่งที่คุณต้องรู้

ปิดบังและใช้ประโยชน์จากกริช: สิ่งที่คุณต้องรู้

สารบัญ:

Anonim

การหาประโยชน์จาก Android ใหม่ได้รับการเปิดเผยชื่อว่า Cloak & Dagger และตามชื่อของมันมันอธิบายถึงวิธีที่แอพที่เจตนาไม่ดีสามารถใช้ประโยชน์จากสิทธิ์ Android สองประการเพื่อขโมยการกดแป้นพิมพ์และหลอกผู้ใช้ให้เปิดเผยข้อมูลส่วนบุคคล

แต่มันอันตรายไหม เรามาทำลายมันลงอย่างรวดเร็ว

Cloak & Dagger คืออะไร

Cloak & Dagger เป็นชื่อสำหรับการรวมกันของสิทธิ์การใช้งาน Android สองแบบที่สามารถใช้ประโยชน์ได้อย่างอิสระหรือแยกกันผ่านแอพที่ไม่ตั้งใจ

มันถูกตีพิมพ์เป็น หลักฐานพิสูจน์แนวคิด โดยทีมสี่คนที่ Georgia Institute of Technology และ University of California, Santa Barbara

มัน ไม่ได้ เป็นช่องโหว่ที่ใช้งานได้และจนถึงปัจจุบันยังไม่มีการใช้งานสาธารณะที่เป็นที่รู้จัก

มันทำงานยังไง?

ตามที่ทีมงาน Cloak & Dagger ใช้ประโยชน์จากสิทธิ์ Android สองรายการ - SYSTEM_ALERT_WINDOW ("วาดบนสุด") และ BIND_ACCESSIBILITY_SERVICE ("a11y") ซึ่งเมื่อทำงานร่วมกันหรือแยกกันทำให้แอปสามารถ "ฟัง" และขโมยข้อความเช่นรหัสผ่านหมายเลขการตรวจสอบสิทธิ์แบบสองปัจจัยหรือข้อมูลส่วนบุคคล

Cloak & Dagger เป็นคลาสใหม่ของการโจมตีที่อาจเกิดขึ้นกับอุปกรณ์ Android การโจมตีเหล่านี้ทำให้แอปที่เป็นอันตรายสามารถควบคุมลูปการตอบกลับ UI อย่างสมบูรณ์และเข้ายึดอุปกรณ์ - โดยไม่ให้โอกาสผู้ใช้สังเกตเห็นกิจกรรมที่เป็นอันตราย การโจมตีเหล่านี้ต้องการเพียงสองสิทธิ์ซึ่งในกรณีที่ติดตั้งแอพจาก Play Store ผู้ใช้ไม่จำเป็นต้องให้สิทธิ์อย่างชัดเจนและไม่ได้รับการแจ้งเตือน การศึกษาผู้ใช้ของเราระบุว่าการโจมตีเหล่านี้เป็นจริง

การอนุญาตแบบ "draw on top" นั้นเรียกว่าคุณสมบัติการซ้อนทับของ Android และมีการใช้งานโดยแอพจำนวนมากเช่น Facebook Messenger และคุณสมบัติ Multi Window ของ Samsung เพื่อเปิดใช้งาน "windows" ที่สามารถย่อและย้ายไปด้านบนของแอพอื่น ๆ

การหาประโยชน์ได้อย่างไร

เนื่องจากสิทธิ์ทั้งสองไม่ได้เป็นส่วนหนึ่งของระบบการให้สิทธิ์ที่ชัดเจนของ Android ที่เริ่มใน Android 6.0 Marshmallow เมื่อมีการดาวน์โหลดแอปที่เป็นอันตรายแอปจึงสามารถให้สิทธิ์ "วาดอยู่ด้านบน" โดยอัตโนมัติ

เมื่อเกิดเหตุการณ์ขึ้นแอปที่เปิดขึ้นครั้งเดียวสามารถสร้างการซ้อนทับบนแอพที่เป็นที่รู้จักเช่น Facebook เพื่อป้อนข้อมูล "phish" เช่นรหัสผ่าน นอกจากนี้ยังสามารถวางซ้อนทับบนคีย์บอร์ด Android เก็บข้อความที่ป้อนเข้าทั้งหมด

การอนุญาตการเข้าถึงเป็นเรื่องยากขึ้นเล็กน้อยที่จะบังคับให้ผู้ใช้เปิดใช้งาน แต่ทีมบอกว่าการพิสูจน์แนวคิดใช้การอนุญาตการซ้อนทับเพื่อหลอกผู้ใช้ให้เปิดใช้งาน เมื่อเปิดใช้งานทั้งคู่แล้วแอป "โหมดพระเจ้า" อาจขโมยข้อมูลจากแอพใดก็ได้ที่ใช้บนโทรศัพท์

ทุกคนได้รับผลกระทบ

Cloak & Dagger ส่งผลกระทบต่อ Android ทุกรุ่นตามที่ทีมรวมถึง Android 5.0, 6.0 และ 7.0 จนถึงรุ่นล่าสุดของ Android 7.1.2

Android 7.0 และสูงกว่าทำให้ยากขึ้นเล็กน้อยสำหรับการใช้ประโยชน์จากการซ้อนทับ บางอย่าง ในการทำงาน แต่ความฉลาดบางอย่างยังคงสามารถหลีกเลี่ยงได้

คุณควรกังวลไหม

ในตอนนี้ไม่มีแอพที่รู้จักที่ใช้ประโยชน์จากการอนุญาตเหล่านี้เพื่อจุดประสงค์ที่เป็นอันตรายแม้ว่าตอนนี้พวกเขาจะเป็นสาธารณะแล้วและอาจมีการเปลี่ยนแปลง ทีมเผยแพร่การวิจัยเพื่อบังคับมือของ Google เพื่อปรับปรุงประสบการณ์เนื่องจากไม่เหมือนกับช่องโหว่ของ Android อื่น ๆ ช่องโหว่เหล่านี้ใช้ประโยชน์จากข้อบกพร่องในการออกแบบในการอนุญาตด้วยตัวเองไม่ใช่ช่องโหว่หรือข้อบกพร่องในซอฟต์แวร์

คุณจะทำอย่างไรเพื่อป้องกันตัวเอง

สิ่งนี้จะไม่เป็นปัญหาสำหรับคุณหากคุณระมัดระวังเกี่ยวกับแอพที่คุณใช้

บ่อยครั้งมากที่ทำจากข้อบกพร่องด้านความปลอดภัยของ Android แต่ Cloak & Dagger ไม่ใช่สิ่งที่คุณต้องกังวลตราบใดที่คุณระมัดระวังเกี่ยวกับการให้สิทธิ์การซ้อนทับ

เพื่อลดผลกระทบที่อาจเกิดขึ้นจาก Cloak & Dagger เป็นความคิดที่ดีที่จะตรวจสอบว่าแอพใดที่สามารถสร้างการซ้อนทับด้านบนของระบบ Android ของคุณ สำหรับ Android ทุกรุ่นนี่คือวิธีการ:

  1. เปิด การตั้งค่า Android
  2. เลื่อนลงและแตะที่ แอ
  3. แตะที่ไอคอน เมนู หรือ Cog
  4. ค้นหาและแตะที่ การเข้าถึงพิเศษ โดยปกติจะอยู่ภายใต้หัวข้อ "ขั้นสูง"
  5. แตะที่ Draw over แอพอื่น ๆ แอพเหล่านี้เป็นแอพที่สามารถสร้างการวางซ้อนโดยใช้การอนุญาตข้างต้น
  6. ปิดใช้งานแอพใด ๆ ที่คุณไม่รู้จัก

เพิ่มเติม: วิธีปิดการซ้อนทับหน้าจอบน Galaxy S8

อย่าตกใจ!

อย่างจริงจังนี่ไม่ใช่เรื่องใหญ่หากคุณระมัดระวังเกี่ยวกับแอพที่คุณดาวน์โหลดโดยเฉพาะอย่างยิ่งตอนนี้ Google จะสแกนมัลแวร์ 50 พันล้านแอปทุกวันโดยใช้ระบบ Play Protect

หวังว่า Google จะแก้ไขปัญหานี้ในที่สาธารณะหรืออย่างน้อยก็ให้ความกระจ่างเกี่ยวกับสิ่งที่ตั้งใจทำกับโฆษณาซ้อนทับของแอป Android O ควรกำจัดปัญหานี้ไปด้วยกันโดยการแก้ไขปัญหาการซ้อนทับกับ API ใหม่ แต่ก็ไม่ชัดเจนว่า Google วางแผนที่จะจัดการกับข้อกังวลของรุ่นก่อนหน้านี้อย่างไร

ข่าว

ตัวเลือกของบรรณาธิการ