Android может разрешить мобильные рекламные или фишинговые всплывающие окна

Разработчики могут протащить в мобильные приложения назойливую всплывающую рекламу или фишинговые атаки благодаря недостаткам в дизайне Android, утверждают исследователи.

ЛАС-ВЕГАС — Исследователи обнаружили, по их словам, недостаток в конструкции Android, который может быть использован преступниками для кражи данных с помощью фишинга или рекламодателями для доставки на телефоны назойливой всплывающей рекламы.

Разработчики могут создавать приложения, которые выглядят безобидно, но могут отображать фальшивую страницу входа в банковское приложение, например, когда пользователь использует законное банковское приложение, сказал Николас Перкоко, старший вице-президент и глава SpiderLabs в Trustwave, перед презентацией исследования на хакерской конференции DefCon сегодня.

В настоящее время приложения, которые хотят связаться с пользователем во время просмотра другого приложения, просто выводят уведомление на панель уведомлений в верхней части экрана. Но в наборе средств разработки Android есть интерфейс программирования приложений, с помощью которого можно вывести определенное приложение на передний план, сказал он.

Android позволяет отменить стандарт для (нажатия) кнопки «назад», — говорит Шон Шульте, разработчик SSL (Secure Sockets Layer) в Trustwave.

Из-за этого приложение может украсть фокус, и вы не сможете нажать кнопку «Назад», чтобы выйти», — сказал Перкоко, добавив, что они назвали эту проблему «Уязвимость кражи фокуса».

Исследователи создали пробный вариант инструмента, который представляет собой игру, но при этом запускает фальшивые экраны Facebook, Amazon, Google Voice и почтового клиента Google. По словам Перкоко, инструмент устанавливается как часть полезной нагрузки внутри легитимного приложения и регистрируется в качестве службы, поэтому он снова появляется после перезагрузки телефона.

В демонстрационном ролике, показывающем, как пользователь открывает приложение и видит экран входа в Facebook, единственным признаком того, что произошло что-то странное, является всплеск на экране, настолько быстрый, что многие пользователи его не замечают. Поддельный экран полностью заменяет настоящий, поэтому пользователь не сможет определить, что что-то не так.

По словам Перкоко, благодаря этому недостатку разработчики игр и приложений могут создавать целевую всплывающую рекламу. Реклама может быть просто назойливой, как большинство всплывающих окон, но она может быть и целевой, чтобы показывать рекламу при использовании приложения конкурента, добавил он.

«Теперь возможен целый мир рекламы, сражающейся друг с другом на экране», — говорит Перкоко, который вместе с Кристианом Папатанасиу продемонстрировал руткит для Android на DefCon в прошлом году.

По словам Шульте, эта функция не вызовет никаких вопросов в разрешениях, отображаемых при загрузке приложения, поскольку это вполне законная функция для приложений — проверять состояние телефона в так называемой службе активности.

По словам Перкоко, несколько недель назад исследователи говорили о своих находках с кем-то из сотрудников Google, и тот признал, что проблема существует, и сказал, что компания пытается найти способ решить ее, не нарушая функциональности легальных приложений, которые могут ее использовать.

Представитель Google, к которому обратились за комментариями, сказал, что изучит этот вопрос.

Обновление 8 августа 2011 года в 15:50. PT Представитель Google сделал следующее заявление: «Переключение между приложениями — это желаемая возможность, используемая многими приложениями для поощрения богатого взаимодействия между приложениями. Мы не видели ни одного приложения, злонамеренно использующего эту технику в Android Market, и мы будем удалять любые приложения, которые это делают».

Представитель Google также направил CNET к Visidon’s AppLock в качестве примера использования этой функциональности. Приложение использует технологию распознавания лиц для предотвращения несанкционированного доступа к частям вашего телефона, например, к приложению Gmail. Легитимное использование функциональности, описанной в уязвимости, в данном примере привело бы к тому, что интерфейс AppLock, запрашивающий пароль, при нажатии на него переместился бы на интерфейс Gmail. Поскольку AppLock использует ваше лицо в качестве пароля, он будет скользить по экрану, позволяя вашему лицу быть распознанным в качестве утвержденного пароля, а затем удаляться.

Обновление 8 августа 2011 года в 7:40 вечера. PT Ответ Перкоко на заявление Google: «Переключение между приложениями — это не проблема. Настоящей проблемой является способность других приложений определять, какое приложение находится на переднем плане, и затем принимать решение о переходе к этому запущенному приложению без разрешения пользователя. Мы также не понимаем, как они смогут определить разницу между вредоносным и легитимным приложением, поскольку оба они будут выглядеть практически одинаково, пока пользователь не сообщит им о вредоносности. Позиция «ждать, пока о приложении сообщат, что оно вредоносное, прежде чем удалять» опасна и, скорее всего, окажется бесполезной, поскольку злоумышленники смогут размещать приложения гораздо быстрее, чем Google сможет их выявить и удалить из Маркета».

В подготовке этого отчета принял участие сотрудник CNET Сет Розенблатт.

Source: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/