FI
Palvelun vihjelinja
Tutkijoiden mukaan kehittäjät voivat ujuttaa ärsyttäviä ponnahdusikkunamainoksia tai phishing-hyökkäyksiä mobiilisovelluksiin Androidin suunnitteluvirheen kautta.
LAS VEGAS–Tutkijat ovat löytäneet Androidista suunnitteluvirheen, jota rikolliset voivat käyttää tietojen varastamiseen tietojenkalastelulla tai mainostajat ärsyttävien ponnahdusikkunamainosten tuomiseen puhelimiin.
Kehittäjät voivat luoda sovelluksia, jotka näyttävät harmittomilta, mutta jotka voivat näyttää esimerkiksi väärennetyn pankkisovelluksen kirjautumissivun, kun käyttäjä käyttää laillista pankkisovellusta, Trustwaven vanhempi varatoimitusjohtaja ja SpiderLabsin johtaja Nicholas Percoco sanoi ennen tutkimustulosten esittelyä DefCon-hakkerikonferenssissa tänään.
Tällä hetkellä sovellukset, jotka haluavat viestiä käyttäjälle toisen sovelluksen katselun aikana, vain työntävät hälytyksen näytön yläreunassa olevaan ilmoituspalkkiin. Androidin ohjelmistokehityspaketissa on kuitenkin sovellusohjelmointirajapinta, jota voidaan käyttää tietyn sovelluksen siirtämiseen etualalle, hän sanoi.
”Androidin avulla voit ohittaa takaisin-painikkeiden käytön”, sanoo Sean Schulte, Trustwaven SSL (Secure Sockets Layer) -kehittäjä.
”Tämän vuoksi sovellus pystyy varastamaan tarkennuksen, etkä voi painaa takaisin-painiketta poistuaksesi”, Percoco sanoi ja lisäsi, että he ovat nimenneet ongelman Focus Stealing Vulnerability -haavoittuvuudeksi.
Tutkijat ovat luoneet proof-of-concept-työkalun, joka on peli mutta joka myös käynnistää Facebookin, Amazonin, Google Voicen ja Googlen sähköpostiohjelman väärennetyt näytöt. Työkalu asentuu osana hyötykuormaa laillisen sovelluksen sisälle ja rekisteröityy palveluksi, joten se tulee takaisin käyttöön puhelimen uudelleenkäynnistyksen jälkeen, Percoco sanoi.
Demossa, jossa käyttäjä avaa sovelluksen ja näkee Facebookin kirjautumisnäytön, ainoa osoitus siitä, että jotain outoa on tapahtunut, on näytön pätkiminen niin nopeasti, etteivät monet käyttäjät huomaa sitä. Väärennetty näyttö korvaa täysin laillisen näytön, joten käyttäjä ei huomaa, että mikään ei ole kohdallaan.
Tämän suunnitteluvirheen avulla pelien tai sovellusten kehittäjät voivat luoda kohdennettuja ponnahdusikkunamainoksia, Percoco sanoi. Mainokset voivat olla pelkästään ärsyttäviä, kuten useimmat ponnahdusikkunat ovat, mutta ne voidaan myös kohdentaa niin, että mainos ponnahtaa esiin, kun kilpailijan sovellusta käytetään, hän lisäsi.
”Joten koko maailma, jossa mainokset taistelevat keskenään ruudulla, on nyt mahdollinen”, sanoi Percoco, joka yhdessä Christian Papathanasioun kanssa esitteli Android-rootkitin DefConissa viime vuonna.
Toiminto ei herättäisi mitään punaisia lippuja käyttöoikeuksissa, jotka näytetään, kun käyttäjä lataa sovelluksen, koska Schulten mukaan se on laillinen toiminto, jolla sovellukset tarkistavat puhelimen tilan niin sanotussa Activity Service -palvelussa.
Percoco sanoi, että tutkijat puhuivat muutama viikko sitten jollekin Googlen työntekijälle havainnoistaan ja että kyseinen henkilö myönsi, että ongelma oli olemassa, ja sanoi, että yhtiö yritti selvittää, miten se voitaisiin ratkaista rikkomatta laillisten sovellusten toimintaa, jotka saattavat käyttää sitä.
Kun Googlen edustajaan otettiin yhteyttä kommenttia varten, hän sanoi tutkivansa asiaa.
Päivitys 8. elokuuta 2011 klo 15:50. PT Googlen tiedottaja antoi tämän lausunnon: ”Sovellusten välillä vaihtaminen on toivottu ominaisuus, jota monet sovellukset käyttävät rohkaistakseen monipuoliseen vuorovaikutukseen sovellusten välillä. Emme ole nähneet Android Marketissa sovelluksia, jotka käyttävät tätä tekniikkaa pahantahtoisesti, ja poistamme kaikki sovellukset, jotka käyttävät sitä.”
Googlen tiedottaja myös ohjasi CNETin Visidonin AppLockiin esimerkkinä siitä, miten tätä toimintoa käytetään. Sovellus käyttää kasvojentunnistustekniikkaa estääkseen luvattoman pääsyn puhelimesi osiin, kuten Gmail-sovellukseen. Tässä esimerkissä haavoittuvuudessa kuvatun toiminnon laillinen käyttö liu’uttaa AppLockin salasanaa pyytävän käyttöliittymän Gmailin käyttöliittymän päälle, kun sitä napauttaa. Koska AppLock käyttää kasvojasi salasanana, se liukuu päälle, antaa kasvojen tunnistua hyväksytyksi salasanaksi ja liukuu sitten pois.
Päivitys 8. elokuuta 2011 klo 19:40. PT Percocon vastaus Googlen lausuntoon: ”Sovelluksen vaihtaminen ei ole ongelma. Todellinen ongelma on se, että muut sovellukset voivat tunnistaa, mikä sovellus on etualalla, ja sitten hypätä käynnissä olevan sovelluksen eteen ilman käyttäjän lupaa. Emme myöskään ymmärrä, miten ne voisivat erottaa haitallisen ja laillisen sovelluksen toisistaan, koska ne molemmat näyttävät lähes samanlaisilta, kunnes käyttäjä ilmoittaa sovelluksen haitalliseksi. ”Odota, että sovellus ilmoitetaan huonoksi ennen kuin se poistetaan” -asenne on vaarallinen ja osoittautuu todennäköisesti turhaksi yritykseksi, sillä hyökkääjät voivat lähettää sovelluksia paljon nopeammin kuin Google pystyy tunnistamaan ja poistamaan ne Marketista.”
CNETin Seth Rosenblatt osallistui tähän raporttiin.
Source: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/
