NO
Service Hotline
Utviklere kan snike irriterende popup-annonser eller phishing-angrep inn i mobilapper via designfeil i Android, ifølge forskere.
LAS VEGAS – Forskere har oppdaget det de sier er en designfeil i Android som kan brukes av kriminelle til å stjele data via phishing eller av annonsører for å bringe irriterende popup-annonser til telefoner.
Utviklere kan lage apper som ser ut til å være ufarlige, men som kan vise en falsk bankapp-påloggingsside, for eksempel når brukeren bruker den legitime bankappen, sa Nicholas Percoco, senior visepresident og leder for SpiderLabs hos Trustwave. av presentasjonen hans om forskningen på DefCon hackerkonferansen i dag.
For øyeblikket trykker apper som ønsker å kommunisere med brukeren mens en annen app vises, bare et varsel til varslingslinjen øverst på skjermen. Men det er et applikasjonsprogrammeringsgrensesnitt i Androids programvareutviklingssett som kan brukes til å skyve en bestemt app i forgrunnen, sa han.
«Android lar deg overstyre standarden for å (trykke) tilbake-knappene,» sa Sean Schulte, SSL (Secure Sockets Layer)-utvikler hos Trustwave.
«På grunn av det er appen i stand til å stjele fokuset, og du kan ikke trykke på tilbakeknappen for å gå ut,» sa Percoco og la til at de har kalt problemet Focus Stealing Vulnerability.
Forskerne har laget et proof-of-concept-verktøy som er et spill, men som også utløser falske skjermer for Facebook, Amazon, Google Voice og Googles e-postklient. Verktøyet installerer seg selv som en del av en nyttelast i en legitim app og registreres som en tjeneste slik at den kommer opp igjen etter at telefonen starter på nytt, sa Percoco.
I en demo som viser en bruker som åpner appen og ser påloggingsskjermen for Facebook, er den eneste indikasjonen på at noe rart har skjedd en skjermglimt så raskt at mange brukere ikke vil legge merke til det. Den falske skjermen erstatter fullstendig den legitime, så en bruker vil ikke kunne fortelle at noe er malplassert.
Med denne designfeilen kan spill- eller apputviklere lage målrettede popup-annonser, sa Percoco. Annonsene kan bare være irriterende, som de fleste popup-vinduer er, men de kan også være målrettet mot å dukke opp en annonse når en konkurrents app brukes, la han til.
«Så hele verden av annonser som slåss med hverandre på skjermen er mulig nå,» sa Percoco, som sammen med Christian Papathanasiou demonstrerte et Android-rootkit på DefCon i fjor.
Funksjonaliteten ville ikke heve noen røde flagg i tillatelsene som vises når brukeren laster ned appen fordi det er en legitim funksjon for apper å sjekke telefontilstanden i det som kalles Aktivitetstjenesten, ifølge Schulte.
Percoco sa at forskerne snakket med noen hos Google om funnene deres for noen uker siden, og at personen erkjente at det var et problem og sa at selskapet prøvde å finne ut hvordan de skulle løse det uten å ødelegge funksjonaliteten til legitime apper som kan bruke den.
Da han ble kontaktet for kommentar, sa en Google-representant at han ville se på saken.
Oppdatering 8. august 2011 kl. 15.50 PT En talsmann for Google ga denne uttalelsen: «Bytte mellom applikasjoner er en ønsket funksjon som brukes av mange applikasjoner for å oppmuntre til rik interaksjon mellom applikasjoner. Vi har ikke sett noen apper som bruker denne teknikken på ondsinnet måte på Android Market, og vi vil fjerne alle apper som gjør det.»
Google-talsmannen henviste også CNET til Visidons AppLock som et eksempel på hvordan denne funksjonaliteten brukes. Appen bruker ansiktsgjenkjenningsteknologi for å forhindre uautorisert tilgang til deler av telefonen din, for eksempel Gmail-appen din. Den legitime bruken av funksjonaliteten beskrevet i sikkerhetsproblemet i dette eksemplet vil skyve AppLocks grensesnitt for passordforespørsel over Gmails når du trykker på det. Siden AppLock bruker ansiktet ditt som passord, vil det gli på, la ansiktet ditt bli gjenkjent som det godkjente passordet, og deretter gli bort.
Oppdatering 8. august 2011 kl. 19.40 PT Percocos svar på Google-uttalelsen: «Aplikasjonsbytte er ikke problemet. Det virkelige problemet er muligheten for andre apper til å identifisere hvilken app som er i forgrunnen og deretter bestemme seg for å hoppe foran den kjørende appen uten at brukeren gir den tillatelse å gjøre det. Vi ser heller ikke hvordan de kan bestemme forskjellen mellom en ondsinnet app eller en legitim, siden de begge vil se nesten identiske ut før en bruker rapporterer det til dem som ondsinnet. Vent til en app er rapportert dårlig før fjerning av holdning er farlig og vil sannsynligvis vise seg å være en resultatløs innsats ettersom angripere kan legge ut apper mye raskere enn Google kunne identifisere og fjerne dem fra Market.»
CNETs Seth Rosenblatt bidro til denne rapporten.
Kilde: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/
