LV
Pakalpojumu karstā līnija
Pētnieki atklāj, ka izstrādātāji varētu mobilajās lietotnēs ievietot kaitinošas uznirstošās reklāmas vai pikšķerēšanas uzbrukumus, izmantojot dizaina nepilnības operētājsistēmā Android.
LAS VEGAS – Pētnieki ir atklājuši, viņuprāt, Android sistēmas dizaina kļūdu, ko varētu izmantot noziedznieki, lai nozagtu datus, izmantojot pikšķerēšanas metodi, vai reklāmdevēji, lai tālruņos ievietotu kaitinošas uznirstošas uznirstošās reklāmas.
Izstrādātāji var izveidot lietotnes, kas šķiet nekaitīgas, bet, piemēram, var parādīt viltotu bankas lietotnes pieteikšanās lapu, kad lietotājs izmanto likumīgu bankas lietotni, teica Trustwave vecākais viceprezidents un SpiderLabs vadītājs Nikolass Pērkoko (Nicholas Percoco), pirms šodien hakeru konferencē DefCon prezentēja savu pētījumu.
Pašlaik lietotnes, kas vēlas sazināties ar lietotāju, kamēr tiek skatīta cita lietotne, vienkārši izvieto brīdinājumu paziņojumu joslā ekrāna augšdaļā. Taču Android programmatūras izstrādes komplektā ir lietojumprogrammu programmēšanas saskarne, ko var izmantot, lai noteiktu lietotni izvirzītu priekšplānā, viņš teica.
“Android ļauj aizstāt atpakaļslēgšanas pogas (nospiešanas) standartu,” teica Šons Šulte (Sean Schulte), Trustwave SSL (Secure Sockets Layer) izstrādātājs.
“Šī iemesla dēļ lietotne var nozagt fokusu, un jūs nevarat nospiest atpakaļ pogas, lai izietu,” teica Perkokoko, piebilstot, ka viņi šo problēmu nosauca par fokusa zādzības ievainojamību.
Pētnieki ir izveidojuši koncepcijas pierādījuma rīku, kas ir spēle, bet arī izraisa viltotus Facebook, Amazon, Google Voice un Google e-pasta klienta displejus. Perkoko teica, ka rīks instalējas kā daļa no likumīgas lietotnes iekšpuses un reģistrējas kā pakalpojums, lai pēc tālruņa pārstartēšanas tas atkal parādītos.
Demonstrējumā, kurā lietotājs atver lietotni un redz Facebook pierakstīšanās ekrānu, vienīgā norāde, ka ir noticis kaut kas neparasts, ir tik ātrs ekrāna nobīde, ka daudzi lietotāji to nemanītu. Viltotais ekrāns pilnībā aizstāj likumīgo ekrānu, tāpēc lietotājs nevarētu noteikt, ka kaut kas nav savā vietā.
Izmantojot šo dizaina trūkumu, spēļu vai lietotņu izstrādātāji var izveidot mērķtiecīgas uznirstošās reklāmas, teica Perkoko. Viņš piebilda, ka šīs reklāmas var būt tikai kaitinošas, kā tas ir lielākajā daļā uznirstošo logu, taču tās var būt arī mērķtiecīgas, lai parādītu reklāmu, kad tiek izmantota konkurenta lietotne.
“Tāpēc tagad ir iespējama visa pasaule, kurā reklāmas cīnās viena ar otru ekrānā,” teica Perkokoko, kurš kopā ar Kristianu Papatanasiu (Christian Papathanasiou) pagājušajā gadā DefCon demonstrēja Android rootkit.
Šulte norāda, ka šī funkcija neizraisa nekādus brīdinājumus atļaujās, kas tiek parādītas, kad lietotājs lejupielādē lietotni, jo tā ir likumīga lietotņu funkcija pārbaudīt tālruņa stāvokli tā sauktajā darbības pakalpojumā.
Pērkoko teica, ka pētnieki pirms dažām nedēļām par saviem atklājumiem runāja ar kādu Google pārstāvi, kurš atzina, ka pastāv problēma, un teica, ka uzņēmums cenšas noskaidrot, kā to risināt, nesabojājot likumīgo lietotņu funkcionalitāti, kas to var izmantot.
Sazinoties ar Google pārstāvi, lai sniegtu komentārus, viņš teica, ka izskatīs šo jautājumu.
Atjauninājums 2011. gada 8. augustā plkst. 15:50. PT Google pārstāvis sniedza šādu paziņojumu: “Pārslēgšanās starp lietojumprogrammām ir vēlama iespēja, ko izmanto daudzas lietojumprogrammas, lai veicinātu bagātīgu mijiedarbību starp lietojumprogrammām. Mēs neesam novērojuši nevienu lietotni, kas ļaunprātīgi izmantotu šo paņēmienu Android Market, un mēs noņemsim visas lietotnes, kas to darīs.”
Google pārstāvis arī norādīja CNET uz Visidon AppLock kā piemēru, kā šī funkcionalitāte tiek izmantota. Programmā tiek izmantota sejas atpazīšanas tehnoloģija, lai novērstu nesankcionētu piekļuvi tālruņa daļām, piemēram, Gmail lietotnei. Šajā piemērā aprakstītajā ievainojamībā aprakstītās funkcionalitātes likumīga izmantošana, kad pieskaroties pie tās, AppLock paroles pieprasīšanas saskarne tiktu pārbīdīta pār Gmail saskarni. Tā kā AppLock izmanto jūsu seju kā paroli, tā tiktu uzlikta, ļautu jūsu sejai tikt atpazītai kā apstiprinātai parolei un pēc tam tiktu noņemta.
Atjauninājums 2011. gada 8. augustā plkst. 19:40. PT Percoco atbilde uz Google paziņojumu: “Lietojumprogrammu pārslēgšana nav problēma. Patiesā problēma ir citu lietotņu spēja noteikt, kura lietotne ir priekšplānā, un pēc tam nolemt pāriet šīs lietotnes priekšā, lietotājam nedodot tai atļauju to darīt. Mēs arī nesaprotam, kā tās varētu noteikt atšķirību starp ļaunprātīgu un likumīgu lietotni, jo tās abas izskatītos gandrīz identiski, līdz lietotājs par to ziņotu kā par ļaunprātīgu. Pozīcija “gaidīt, kamēr par lietotni tiek ziņots kā par ļaunprātīgu, pirms to dzēst” ir bīstama un, visticamāk, izrādīsies neauglīga, jo uzbrucēji varētu publicēt lietotnes daudz ātrāk, nekā Google varētu tās identificēt un izņemt no Market.”
CNET speciālists Sets Rozenblats (Seth Rosenblatt) sniedza savu ieguldījumu šajā ziņojumā.
Source: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/
