BG
Гореща линия за услуги
Според изследователи разработчиците могат да промъкнат досадни изскачащи реклами или фишинг атаки в мобилни приложения чрез недостатък в дизайна на Android.
ЛАС ВЕГАС – Изследователи са открили според тях недостатък в дизайна на Android, който може да се използва от престъпници за кражба на данни чрез фишинг или от рекламодатели за извеждане на досадни изскачащи реклами на телефоните.
Разработчиците могат да създават приложения, които изглеждат безобидни, но могат да показват фалшива страница за влизане в банково приложение, например когато потребителят използва легитимно банково приложение, заяви Никълъс Перкоко, старши вицепрезидент и ръководител на SpiderLabs в Trustwave, преди представянето на изследването на хакерската конференция DefCon днес.
Понастоящем приложенията, които искат да се свържат с потребителя, докато се разглежда друго приложение, просто изпращат предупреждение в лентата за известия в горната част на екрана. Но в комплекта за разработка на софтуер на Android има интерфейс за програмиране на приложения, който може да се използва за изтласкване на определено приложение на преден план – каза той.
„Android ви позволява да отмените стандарта за натискане на бутоните за връщане назад“, казва Шон Шулте, разработчик на SSL (Secure Sockets Layer) в Trustwave.
„Поради тази причина приложението може да открадне фокуса и вие не можете да натиснете бутона за връщане, за да излезете“, казва Перкоко и добавя, че са нарекли проблема „уязвимост за кражба на фокус“.
Изследователите са създали концептуален инструмент, който представлява игра, но също така задейства фалшиви дисплеи за Facebook, Amazon, Google Voice и клиента за електронна поща на Google. Инструментът се инсталира като част от полезен товар в легитимно приложение и се регистрира като услуга, така че да се появи отново след рестартиране на телефона, казва Перкоко.
В демонстрационен филм, показващ как потребител отваря приложението и вижда екрана за влизане във Facebook, единствената индикация, че се е случило нещо странно, е едно толкова бързо прескачане на екрана, че много потребители не биха го забелязали. Фалшивият екран напълно замества легитимния, така че потребителят не може да разбере, че нещо не е на мястото си.
Благодарение на този недостатък в дизайна разработчиците на игри или приложения могат да създават целеви изскачащи реклами – казва Перкоко. Рекламите могат да бъдат просто досадни, както повечето изскачащи прозорци, но също така могат да бъдат насочени към изскачане на реклами, когато се използва конкурентно приложение – добави той.
„Така че целият свят на реклами, които се борят помежду си на екрана, вече е възможен“, казва Перкоко, който заедно с Кристиан Папатанасиу демонстрира руткит за Android на конференцията DefCon миналата година.
Според Шулте тази функционалност няма да предизвика никакви сигнали в разрешенията, които се показват, когато потребителят изтегли приложението, тъй като това е легитимна функция на приложенията да проверяват състоянието на телефона в така наречената услуга за активност.
Перкоко заяви, че преди няколко седмици изследователите са разговаряли с човек от Google за своите открития и той е признал, че има проблем, и е казал, че компанията се опитва да разбере как да го реши, без да нарушава функционалността на законните приложения, които може да го използват.
Когато се свързахме с него за коментар, представител на Google заяви, че ще проучи въпроса.
Актуализация 8 август 2011 г. в 15:50 ч. PT Говорител на Google предостави това изявление: „Превключването между приложенията е желана възможност, използвана от много приложения, за да се насърчи богатото взаимодействие между тях. Не сме виждали приложения, които злонамерено да използват тази техника в Android Market, и ще премахнем всички приложения, които го правят.“
Говорителят на Google също така насочи CNET към AppLock на Visidon като пример за използването на тази функционалност. Приложението използва технология за разпознаване на лица, за да предотврати неоторизиран достъп до части от телефона ви, като например приложението Gmail. Законосъобразното използване на функционалността, описана в уязвимостта в този пример, би довело до преместване на интерфейса за искане на парола на AppLock над интерфейса на Gmail, когато го докоснете. Тъй като функцията AppLock използва лицето ви като парола, тя ще се плъзне, ще позволи лицето ви да бъде разпознато като одобрена парола и след това ще се плъзне.
Актуализация 8 август 2011 г. в 19:40 ч. PT Отговор на Percoco на изявлението на Google: „Превключването на приложения не е проблем. Истинският проблем е способността на други приложения да определят кое приложение е на преден план и след това да решат да излязат на преден план пред това работещо приложение, без потребителят да им е дал разрешение за това. Също така не виждаме как те биха могли да определят разликата между злонамерено и легитимно приложение, тъй като и двете ще изглеждат почти идентично, докато потребителят не им съобщи, че е злонамерено. Позицията „изчакайте, докато дадено приложение бъде докладвано като лошо, преди да го премахнете“ е опасна и вероятно ще се окаже безплодно усилие, тъй като нападателите биха могли да публикуват приложения много по-бързо, отколкото Google може да ги идентифицира и премахне от Market.“
Сет Розенблат от CNET допринесе за този доклад.
Source: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/
