SK
Horúca linka služieb
Vývojári mohli podľa výskumníkov do mobilných aplikácií vložiť otravné vyskakovacie reklamy alebo phishingové útoky prostredníctvom chyby v dizajne systému Android.
LAS VEGAS – Výskumníci objavili v systéme Android podľa nich chybu v návrhu, ktorú môžu zločinci využiť na krádež údajov prostredníctvom phishingu alebo inzerenti na zobrazovanie otravných vyskakovacích reklám v telefónoch.
Vývojári môžu vytvárať aplikácie, ktoré sa tvária ako neškodné, ale môžu napríklad zobrazovať falošnú prihlasovaciu stránku bankovej aplikácie, keď používateľ používa legitímnu bankovú aplikáciu, povedal Nicholas Percoco, senior viceprezident a vedúci oddelenia SpiderLabs spoločnosti Trustwave, pred svojou dnešnou prezentáciou výskumu na hackerskej konferencii DefCon.
V súčasnosti aplikácie, ktoré chcú komunikovať s používateľom počas prezerania inej aplikácie, len posielajú upozornenie do oznamovacej lišty v hornej časti obrazovky. V súprave Android Software Development Kit však existuje rozhranie na programovanie aplikácií, ktoré sa dá použiť na presunutie konkrétnej aplikácie do popredia, povedal.
„Systém Android umožňuje prepísať štandard pre (stlačenie) tlačidiel späť,“ povedal Sean Schulte, vývojár SSL (Secure Sockets Layer) v spoločnosti Trustwave.
„Z tohto dôvodu je aplikácia schopná ukradnúť fokus a vy nemôžete stlačiť tlačidlo späť, aby ste z nej odišli,“ povedal Percoco a dodal, že problém nazvali Focus Stealing Vulnerability.
Výskumníci vytvorili overený nástroj, ktorý je hrou, ale zároveň spúšťa falošné zobrazenia pre Facebook, Amazon, Google Voice a e-mailového klienta Google. Nástroj sa nainštaluje ako súčasť užitočného zaťaženia v legitímnej aplikácii a zaregistruje sa ako služba, takže sa po reštarte telefónu opäť spustí, povedal Percoco.
V ukážke, v ktorej používateľ otvorí aplikáciu a zobrazí sa prihlasovacia obrazovka pre Facebook, je jediným náznakom, že sa stalo niečo zvláštne, také rýchle posunutie obrazovky, ktoré si mnohí používatelia ani nevšimnú. Falošná obrazovka úplne nahradí legitímnu obrazovku, takže používateľ nebude schopný zistiť, že niečo nie je na svojom mieste.
Vďaka tejto konštrukčnej chybe môžu vývojári hier alebo aplikácií vytvárať cielené vyskakovacie reklamy, uviedol Percoco. Reklamy by mohli byť len otravné, ako väčšina vyskakovacích okien, ale mohli by byť aj cielené tak, aby sa reklama zobrazovala pri používaní konkurenčnej aplikácie, dodal.
„Takže celý svet reklám, ktoré medzi sebou bojujú na obrazovke, je teraz možný,“ povedal Percoco, ktorý spolu s Christianom Papathanasiouom predviedol rootkit pre Android na minuloročnej konferencii DefCon.
Podľa Schulteho táto funkcia nevyvolá žiadne varovné signály v oprávneniach zobrazených pri stiahnutí aplikácie, pretože ide o legitímnu funkciu aplikácií na kontrolu stavu telefónu v tzv. službe aktivity.
Percoco uviedol, že výskumníci pred niekoľkými týždňami hovorili o svojich zisteniach s niekým zo spoločnosti Google, ktorý uznal, že ide o problém, a povedal, že spoločnosť sa snaží zistiť, ako ho vyriešiť bez toho, aby narušila funkčnosť legitímnych aplikácií, ktoré ho môžu používať.
Zástupca spoločnosti Google na žiadosť o komentár uviedol, že sa na túto záležitosť pozrie.
Aktualizácia 8. augusta 2011 o 15:50 hod. PT Hovorca spoločnosti Google poskytol toto vyhlásenie: „Prepínanie medzi aplikáciami je žiadaná funkcia, ktorú využíva mnoho aplikácií na podporu bohatej interakcie medzi aplikáciami. V službe Android Market sme nezaznamenali žiadne aplikácie, ktoré by túto techniku používali v zlom úmysle, a všetky aplikácie, ktoré ju používajú, odstránime.“
Hovorca spoločnosti Google tiež odkázal CNET na aplikáciu Visidon AppLock ako príklad využitia tejto funkcie. Aplikácia využíva technológiu rozpoznávania tváre na zabránenie neoprávnenému prístupu k častiam telefónu, napríklad k aplikácii Gmail. Legitímne použitie funkcie opísanej v zraniteľnosti v tomto príklade by posunulo rozhranie AppLock požadujúce heslo nad rozhranie Gmail, keď naň ťuknete. Keďže aplikácia AppLock používa vašu tvár ako heslo, nasadí sa, nechá vašu tvár rozpoznať ako schválené heslo a potom sa odsunie.
Aktualizácia 8. augusta 2011 o 19:40 hod. PT Reakcia spoločnosti Percoco na vyhlásenie spoločnosti Google: „Prepínanie aplikácií nie je problém. Skutočným problémom je schopnosť iných aplikácií identifikovať, ktorá aplikácia je v popredí, a potom sa rozhodnúť skočiť pred túto spustenú aplikáciu bez toho, aby jej na to používateľ dal povolenie. Nechápeme tiež, ako by mohli určiť rozdiel medzi škodlivou a legitímnou aplikáciou, keďže obe by vyzerali takmer identicky, kým by im používateľ nenahlásil, že ide o škodlivú aplikáciu. Postoj „počkajte, kým bude aplikácia nahlásená ako zlá, a až potom ju odstráňte“ je nebezpečný a pravdepodobne sa ukáže ako bezvýsledná snaha, pretože útočníci by mohli zverejňovať aplikácie oveľa rýchlejšie, ako by ich spoločnosť Google mohla identifikovať a odstrániť z Marketu.“
Na tejto správe sa podieľal Seth Rosenblatt zo spoločnosti CNET.
Source: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/
