NL
Service Hotline
Volgens onderzoekers konden ontwikkelaars vervelende pop-upadvertenties of phishingaanvallen binnensmokkelen in mobiele apps via een ontwerpfout in Android.
LAS VEGAS–Onderzoekers hebben een ontwerpfout ontdekt in Android die gebruikt kan worden door criminelen om gegevens te stelen via phishing of door adverteerders om vervelende pop-up advertenties op telefoons te zetten.
Ontwikkelaars kunnen apps maken die onschuldig lijken, maar die bijvoorbeeld een nep-inlogpagina van een bank-app kunnen weergeven wanneer de gebruiker de legitieme bank-app gebruikt, zei Nicholas Percoco, senior vice president en hoofd van SpiderLabs bij Trustwave, voorafgaand aan zijn presentatie over het onderzoek op de DefCon hackerconferentie vandaag.
Op dit moment sturen apps die met de gebruiker willen communiceren terwijl een andere app wordt bekeken, gewoon een melding naar de meldingsbalk boven aan het scherm. Maar er is een programmeerinterface in de Software Development Kit van Android die kan worden gebruikt om een bepaalde app naar de voorgrond te duwen, zei hij.
“Met Android kun je de standaard voor het indrukken van de terug-knop omzeilen”, zegt Sean Schulte, SSL (Secure Sockets Layer) ontwikkelaar bij Trustwave.
“Daardoor kan de app de focus stelen en kun je niet op de terugknop drukken om de app te verlaten”, aldus Percoco, die eraan toevoegt dat ze het probleem de naam Focus Stealing Vulnerability hebben gegeven.
De onderzoekers hebben een proof-of-concept tool gemaakt die een spel is, maar ook valse weergaven activeert voor Facebook, Amazon, Google Voice en de e-mailclient van Google. De tool installeert zichzelf als onderdeel van een payload binnen een legitieme app en registreert zichzelf als een service, zodat het terugkomt nadat de telefoon opnieuw is opgestart, aldus Percoco.
In een demo waarin een gebruiker de app opent en het inlogscherm voor Facebook ziet, is de enige aanwijzing dat er iets vreemds is gebeurd een schermbliep die veel gebruikers niet zouden opmerken. Het valse scherm vervangt het echte scherm volledig, zodat een gebruiker niet kan zien dat er iets niet klopt.
Met deze ontwerpfout kunnen ontwikkelaars van games of apps gerichte pop-upadvertenties maken, aldus Percoco. De advertenties kunnen gewoon irritant zijn, zoals de meeste pop-ups, maar ze kunnen ook gericht zijn om een advertentie te laten verschijnen wanneer de app van een concurrent wordt gebruikt, voegde hij eraan toe.
“Dus de hele wereld van advertenties die met elkaar vechten op het scherm is nu mogelijk,” zei Percoco, die samen met Christian Papathanasiou een Android rootkit demonstreerde op DefCon vorig jaar.
De functionaliteit zou geen rode vlaggen veroorzaken in de toestemmingen die worden weergegeven wanneer de gebruiker de app downloadt, omdat het een legitieme functie is voor apps om de toestand van de telefoon te controleren in wat de Activiteitsdienst wordt genoemd, volgens Schulte.
Percoco zei dat de onderzoekers een paar weken geleden met iemand bij Google hadden gesproken over hun bevindingen en dat die persoon erkende dat er een probleem was en zei dat het bedrijf probeerde uit te zoeken hoe het probleem kon worden opgelost zonder de functionaliteit van legitieme apps die er mogelijk gebruik van maakten te verstoren.
Toen er contact werd opgenomen voor commentaar, zei een vertegenwoordiger van Google dat hij de zaak zou onderzoeken.
Update 8 augustus 2011 om 15:50 uur. PT Een woordvoerder van Google gaf deze verklaring: “Schakelen tussen applicaties is een gewenste mogelijkheid die door veel applicaties wordt gebruikt om rijke interactie tussen applicaties aan te moedigen. We hebben geen apps gezien die deze techniek op een kwaadwillende manier gebruiken op Android Market en we zullen apps die dat wel doen verwijderen.”
De woordvoerder van Google verwees CNET ook naar AppLock van Visidon als voorbeeld van hoe die functionaliteit wordt gebruikt. De app gebruikt gezichtsherkenningstechnologie om ongeautoriseerde toegang tot delen van je telefoon te voorkomen, zoals je Gmail-app. Het legitieme gebruik van de functionaliteit beschreven in de kwetsbaarheid in dit voorbeeld zou AppLock’s interface voor het opvragen van wachtwoorden over die van Gmail schuiven wanneer je erop tikt. Omdat AppLock je gezicht als wachtwoord gebruikt, schuift het aan, laat het je gezicht herkennen als het goedgekeurde wachtwoord en schuift het dan weer weg.
Update 8 augustus 2011 om 19:40 uur. PT Reactie van Percoco op de verklaring van Google: “Het schakelen tussen applicaties is niet het probleem. Het echte probleem is de mogelijkheid voor andere apps om te identificeren welke app op de voorgrond staat en dan te besluiten om voor die draaiende app te springen zonder dat de gebruiker daar toestemming voor geeft. We zien ook niet in hoe ze het verschil zouden kunnen bepalen tussen een kwaadaardige app en een legitieme app, omdat ze er allebei bijna identiek uitzien totdat een gebruiker ze als kwaadaardig meldt. De ‘wacht tot een app slecht is gemeld voordat je hem verwijdert’ houding is gevaarlijk en zal waarschijnlijk een vruchteloze poging blijken te zijn omdat aanvallers veel sneller apps kunnen plaatsen dan Google ze kan identificeren en verwijderen uit de Market.”
Seth Rosenblatt van CNET heeft bijgedragen aan dit verslag.
Source: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/
