CS
Horká linka služeb
Podle výzkumníků mohou vývojáři do mobilních aplikací propašovat otravné vyskakovací reklamy nebo phishingové útoky prostřednictvím chyby v návrhu systému Android.
LAS VEGAS – Výzkumníci objevili v systému Android podle jejich slov chybu v návrhu, kterou mohou zločinci využít ke krádeži dat prostřednictvím phishingu nebo inzerenti k zobrazování otravných vyskakovacích reklam v telefonech.
Vývojáři mohou vytvářet aplikace, které se tváří jako neškodné, ale které mohou zobrazit například falešnou přihlašovací stránku bankovní aplikace, i když uživatel používá legitimní bankovní aplikaci, uvedl Nicholas Percoco, senior viceprezident a vedoucí laboratoří SpiderLabs společnosti Trustwave, před svou dnešní prezentací výzkumu na hackerské konferenci DefCon.
V současné době aplikace, které chtějí komunikovat s uživatelem během prohlížení jiné aplikace, pouze odesílají upozornění do oznamovací lišty v horní části obrazovky. V sadě pro vývoj softwaru Android je však rozhraní pro programování aplikací, které lze použít k posunutí určité aplikace do popředí, řekl.
„Systém Android umožňuje obejít standard pro (stisknutí) tlačítek zpět,“ řekl Sean Schulte, vývojář SSL (Secure Sockets Layer) ve společnosti Trustwave.
„Z tohoto důvodu je aplikace schopna ukrást fokus a vy nemůžete stisknout tlačítko zpět, abyste odešli,“ řekl Percoco a dodal, že problém nazvali Focus Stealing Vulnerability.
Výzkumníci vytvořili zkušební nástroj, který je hrou, ale také spouští falešné zobrazení pro Facebook, Amazon, Google Voice a e-mailového klienta Google. Nástroj se nainstaluje jako součást užitečného zatížení do legitimní aplikace a zaregistruje se jako služba, takže se po restartu telefonu znovu spustí, uvedl Percoco.
V ukázce, která ukazuje, jak uživatel otevře aplikaci a zobrazí přihlašovací obrazovku pro Facebook, je jediným náznakem, že se stalo něco zvláštního, tak rychlé probliknutí obrazovky, že si toho mnoho uživatelů ani nevšimne. Falešná obrazovka zcela nahradí tu legitimní, takže uživatel nepozná, že něco není na svém místě.
Díky této konstrukční chybě mohou vývojáři her nebo aplikací vytvářet cílené vyskakovací reklamy, uvedl Percoco. Reklamy mohou být pouze obtěžující, jako je tomu u většiny vyskakovacích oken, ale mohou být také cílené tak, aby se reklama zobrazila při používání konkurenční aplikace, dodal.
„Takže celý svět reklam, které spolu na obrazovce bojují, je nyní možný,“ řekl Percoco, který spolu s Christianem Papathanasiouem předvedl rootkit pro Android na loňském DefConu.
Podle Schulteho by tato funkce neměla vyvolat žádné varování v oprávněních zobrazených při stahování aplikace, protože se jedná o legitimní funkci aplikací pro kontrolu stavu telefonu v takzvané službě aktivity.
Percoco uvedl, že výzkumníci o svých zjištěních před několika týdny hovořili s někým ze společnosti Google, který uznal, že problém existuje, a řekl, že se společnost snaží přijít na to, jak jej vyřešit, aniž by narušila funkčnost legitimních aplikací, které jej mohou používat.
Zástupce společnosti Google na žádost o komentář uvedl, že se na tuto záležitost podívá.
Aktualizace 8. srpna 2011 v 15:50 hod. PT Mluvčí společnosti Google poskytl toto prohlášení: „Přepínání mezi aplikacemi je žádoucí funkcí, kterou využívá mnoho aplikací k podpoře bohaté interakce mezi aplikacemi. Na Android Marketu jsme nezaznamenali žádné aplikace, které by tuto techniku používaly ve zlém úmyslu, a všechny aplikace, které ji používají, odstraníme.“
Mluvčí společnosti Google také odkázal CNET na aplikaci Visidon AppLock jako příklad využití této funkce. Aplikace využívá technologii rozpoznávání obličeje, aby zabránila neoprávněnému přístupu k částem telefonu, například k aplikaci Gmail. Legitimní použití funkce popsané ve zranitelnosti v tomto příkladu by po klepnutí na rozhraní AppLock pro vyžádání hesla přesunulo rozhraní Gmail. Protože zámek AppLock používá jako heslo váš obličej, nasadil by se, nechal by váš obličej rozpoznat jako schválené heslo a pak by se odsunul.
Aktualizace 8. srpna 2011 v 19:40 hod. PT Reakce společnosti Percoco na prohlášení společnosti Google: „Přepínání aplikací není problém. Skutečným problémem je schopnost ostatních aplikací rozpoznat, která aplikace je v popředí, a pak se rozhodnout, že před tuto spuštěnou aplikaci přeskočí, aniž by jí k tomu uživatel dal svolení. Nevíme také, jak by mohly určit rozdíl mezi škodlivou a legitimní aplikací, protože obě by vypadaly téměř stejně, dokud by jim je uživatel nenahlásil jako škodlivé. Postoj ´počkat, až bude aplikace nahlášena jako špatná, a teprve poté ji odstranit´ je nebezpečný a pravděpodobně se ukáže jako marná snaha, protože útočníci by mohli aplikace zveřejnit mnohem rychleji, než by je Google dokázal identifikovat a odstranit z Marketu.“
Na této zprávě se podílel Seth Rosenblatt ze společnosti CNET.
Source: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/
