Το Android θα μπορούσε να επιτρέψει αναδυόμενα διαφημιστικά ή phishing μηνύματα για κινητά τηλέφωνα

Σύμφωνα με ερευνητές, οι προγραμματιστές θα μπορούσαν να εισάγουν ενοχλητικές αναδυόμενες διαφημίσεις ή επιθέσεις phishing σε εφαρμογές για κινητά μέσω σχεδιαστικού ελαττώματος στο Android.

ΛΑΣ ΒΕΓΚΑΣ–Ερευνητές ανακάλυψαν αυτό που λένε ότι είναι ένα σχεδιαστικό ελάττωμα στο Android που θα μπορούσε να χρησιμοποιηθεί από εγκληματίες για να κλέψουν δεδομένα μέσω phishing ή από διαφημιστές για να φέρουν ενοχλητικές αναδυόμενες διαφημίσεις στα τηλέφωνα.

Οι προγραμματιστές μπορούν να δημιουργήσουν εφαρμογές που φαίνονται να είναι ακίνδυνες, αλλά οι οποίες μπορούν να εμφανίσουν μια ψεύτικη σελίδα σύνδεσης σε τραπεζική εφαρμογή, για παράδειγμα, όταν ο χρήστης χρησιμοποιεί τη νόμιμη τραπεζική εφαρμογή, δήλωσε ο Nicholas Percoco, ανώτερος αντιπρόεδρος και επικεφαλής του SpiderLabs της Trustwave, πριν από την παρουσίαση της έρευνάς του στο συνέδριο χάκερ DefCon σήμερα.

Επί του παρόντος, οι εφαρμογές που θέλουν να επικοινωνήσουν με τον χρήστη ενώ προβάλλεται μια άλλη εφαρμογή, απλώς στέλνουν μια ειδοποίηση στη γραμμή ειδοποιήσεων στο επάνω μέρος της οθόνης. Αλλά υπάρχει μια διεπαφή προγραμματισμού εφαρμογών στο Κιτ Ανάπτυξης Λογισμικού του Android που μπορεί να χρησιμοποιηθεί για την προώθηση μιας συγκεκριμένης εφαρμογής στο προσκήνιο, είπε.

“Το Android σας επιτρέπει να παρακάμψετε το πρότυπο για το (πάτημα) των κουμπιών επιστροφής”, δήλωσε ο Sean Schulte, προγραμματιστής SSL (Secure Sockets Layer) στην Trustwave.

“Εξαιτίας αυτού, η εφαρμογή είναι σε θέση να κλέψει την εστίαση και δεν είστε σε θέση να πατήσετε το κουμπί πίσω για να βγείτε έξω”, δήλωσε ο Percoco, προσθέτοντας ότι έχουν ονομάσει το ζήτημα το Focus Stealing Vulnerability.

Οι ερευνητές δημιούργησαν ένα proof-of-concept εργαλείο που είναι ένα παιχνίδι, αλλά επίσης ενεργοποιεί ψεύτικες οθόνες για το Facebook, το Amazon, το Google Voice και το πρόγραμμα ηλεκτρονικού ταχυδρομείου της Google. Το εργαλείο εγκαθίσταται ως μέρος ενός ωφέλιμου φορτίου μέσα σε μια νόμιμη εφαρμογή και εγγράφεται ως υπηρεσία, ώστε να επανέρχεται μετά την επανεκκίνηση του τηλεφώνου, δήλωσε ο Percoco.

Σε ένα demo που δείχνει έναν χρήστη να ανοίγει την εφαρμογή και να βλέπει την οθόνη σύνδεσης στο Facebook, η μόνη ένδειξη ότι κάτι περίεργο έχει συμβεί είναι ένα σφάλμα στην οθόνη που είναι τόσο γρήγορο που πολλοί χρήστες δεν θα το παρατηρούσαν. Η ψεύτικη οθόνη αντικαθιστά πλήρως τη νόμιμη, έτσι ώστε ο χρήστης να μην μπορεί να καταλάβει ότι κάτι δεν είναι στη θέση του.

Με αυτό το σχεδιαστικό ελάττωμα, οι προγραμματιστές παιχνιδιών ή εφαρμογών μπορούν να δημιουργήσουν στοχευμένες αναδυόμενες διαφημίσεις, δήλωσε ο Percoco. Οι διαφημίσεις θα μπορούσαν να είναι απλώς ενοχλητικές, όπως είναι τα περισσότερα αναδυόμενα παράθυρα, αλλά θα μπορούσαν επίσης να είναι στοχευμένες ώστε να εμφανίζουν μια διαφήμιση όταν χρησιμοποιείται η εφαρμογή ενός ανταγωνιστή, πρόσθεσε.

“Έτσι, ολόκληρος ο κόσμος των διαφημίσεων που μάχονται μεταξύ τους στην οθόνη είναι πλέον εφικτός”, δήλωσε ο Percoco, ο οποίος μαζί με τον Christian Papathanasiou, παρουσίασαν ένα Android rootkit στο DefCon πέρυσι.

Σύμφωνα με τον Schulte, η λειτουργία αυτή δεν θα προκαλούσε κανένα πρόβλημα στα δικαιώματα που εμφανίζονται όταν ο χρήστης κατεβάζει την εφαρμογή, επειδή είναι μια νόμιμη λειτουργία για τις εφαρμογές να ελέγχουν την κατάσταση του τηλεφώνου σε αυτό που ονομάζεται Υπηρεσία δραστηριότητας.

Ο Percoco δήλωσε ότι οι ερευνητές μίλησαν με κάποιον στη Google για τα ευρήματά τους πριν από μερικές εβδομάδες και ότι το άτομο αναγνώρισε ότι υπήρχε ένα πρόβλημα και είπε ότι η εταιρεία προσπαθούσε να βρει τρόπο να το αντιμετωπίσει χωρίς να σπάσει οποιαδήποτε λειτουργικότητα των νόμιμων εφαρμογών που μπορεί να το χρησιμοποιούν.

Όταν ζητήθηκε σχόλιο, εκπρόσωπος της Google δήλωσε ότι θα εξετάσει το θέμα.

Ενημέρωση 8 Αυγούστου 2011 στις 3:50 μ.μ. PT Ένας εκπρόσωπος της Google παρείχε την ακόλουθη δήλωση: “Η εναλλαγή μεταξύ εφαρμογών είναι μια επιθυμητή δυνατότητα που χρησιμοποιείται από πολλές εφαρμογές για να ενθαρρύνει την πλούσια αλληλεπίδραση μεταξύ των εφαρμογών. Δεν έχουμε δει καμία εφαρμογή να χρησιμοποιεί κακόβουλα αυτή την τεχνική στο Android Market και θα αφαιρέσουμε κάθε εφαρμογή που το κάνει”.

Ο εκπρόσωπος της Google παρέπεμψε επίσης το CNET στο AppLock της Visidon ως παράδειγμα για το πώς χρησιμοποιείται αυτή η λειτουργία. Η εφαρμογή χρησιμοποιεί τεχνολογία αναγνώρισης προσώπου για να αποτρέψει τη μη εξουσιοδοτημένη πρόσβαση σε τμήματα του τηλεφώνου σας, όπως η εφαρμογή Gmail. Η νόμιμη χρήση της λειτουργικότητας που περιγράφεται στην ευπάθεια σε αυτό το παράδειγμα θα ολισθαίνει τη διεπαφή αίτησης κωδικού πρόσβασης του AppLock πάνω από τη διεπαφή του Gmail όταν το πατάτε. Δεδομένου ότι το AppLock χρησιμοποιεί το πρόσωπό σας ως κωδικό πρόσβασης, θα γλιστρούσε, θα επέτρεπε στο πρόσωπό σας να αναγνωριστεί ως εγκεκριμένος κωδικός πρόσβασης και στη συνέχεια θα απομακρυνόταν.

Ενημέρωση 8 Αυγούστου 2011 στις 7:40 μ.μ. PT Η απάντηση του Percoco στη δήλωση της Google: “Η εναλλαγή εφαρμογών δεν είναι το θέμα. Το πραγματικό πρόβλημα είναι η δυνατότητα άλλων εφαρμογών να αναγνωρίζουν ποια εφαρμογή βρίσκεται στο προσκήνιο και στη συνέχεια να αποφασίζουν να περάσουν μπροστά από αυτή την εφαρμογή που εκτελείται χωρίς ο χρήστης να τους δίνει την άδεια να το κάνουν. Επίσης, δεν βλέπουμε πώς θα μπορούσαν να προσδιορίσουν τη διαφορά μεταξύ μιας κακόβουλης και μιας νόμιμης εφαρμογής, αφού και οι δύο θα φαίνονται σχεδόν πανομοιότυπες μέχρι να τους το αναφέρει ένας χρήστης ως κακόβουλο. Η στάση ´περιμένουμε να αναφερθεί μια εφαρμογή ως κακή πριν την αφαιρέσουμε´ είναι επικίνδυνη και πιθανότατα θα αποδειχθεί μια άκαρπη προσπάθεια, καθώς οι επιτιθέμενοι θα μπορούσαν να δημοσιεύσουν εφαρμογές πολύ πιο γρήγορα από ό,τι η Google θα μπορούσε να τις εντοπίσει και να τις αφαιρέσει από το Market”.

Ο Σεθ Ρόζενμπλατ του CNET συνέβαλε σε αυτή την έκθεση.

Source: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/