TR
Hizmet Hattı
Araştırmacılara göre, geliştiriciler Android’deki tasarım hatası sayesinde mobil uygulamalara rahatsız edici pop-up reklamlar veya kimlik avı saldırıları sokabilir.
LAS VEGAS–Araştırmacılar, Android ‘de suçlular tarafından kimlik avı yoluyla veri çalmak veya reklamcılar tarafından telefonlara rahatsız edici pop-up reklamlar getirmek için kullanılabilecek bir tasarım hatası olduğunu söyledikleri bir şey keşfettiler.
Trustwave’in kıdemli başkan yardımcısı ve SpiderLabs başkanı Nicholas Percoco, bugün DefCon hacker konferansında araştırma hakkında yapacağı sunum öncesinde, geliştiricilerin zararsız gibi görünen ancak örneğin kullanıcı yasal banka uygulamasını kullanırken sahte bir banka uygulaması oturum açma sayfası görüntüleyebilen uygulamalar oluşturabileceğini söyledi.
Şu anda, farklı bir uygulama görüntülenirken kullanıcıyla iletişim kurmak isteyen uygulamalar, ekranın üst kısmındaki bildirim çubuğuna bir uyarı gönderiyor. Ancak Android’in Yazılım Geliştirme Kiti’nde belirli bir uygulamayı ön plana çıkarmak için kullanılabilecek bir uygulama programlama arayüzü olduğunu söyledi.
Trustwave’de SSL (Secure Sockets Layer) geliştiricisi olan Sean Schulte, “Android, geri düğmelerine (basma) standardını geçersiz kılmanıza izin veriyor,” dedi.
“Bu nedenle, uygulama odağı çalabiliyor ve çıkmak için geri düğmesine basamıyorsunuz” diyen Percoco, soruna Odak Çalma Güvenlik Açığı adını verdiklerini sözlerine ekledi.
Araştırmacılar, bir oyun olan ancak aynı zamanda Facebook, Amazon, Google Voice ve Google e-posta istemcisi için sahte ekranları tetikleyen bir kavram kanıtı aracı oluşturdular. Percoco, aracın kendisini yasal bir uygulamanın içindeki bir yükün parçası olarak yüklediğini ve bir hizmet olarak kaydolduğunu, böylece telefon yeniden başlatıldıktan sonra geri geldiğini söyledi.
Bir kullanıcının uygulamayı açtığını ve Facebook’a giriş ekranını gördüğünü gösteren bir demoda, garip bir şey olduğuna dair tek gösterge, birçok kullanıcının fark etmeyeceği kadar hızlı bir ekran kaymasıdır. Sahte ekran tamamen yasal olanın yerini alır, böylece bir kullanıcı herhangi bir şeyin yerinde olmadığını anlayamaz.
Percoco, bu tasarım hatası sayesinde oyun veya uygulama geliştiricilerinin hedefli pop-up reklamlar oluşturabileceğini söyledi. Reklamlar, çoğu açılır pencerede olduğu gibi yalnızca can sıkıcı olabilir, ancak aynı zamanda bir rakibin uygulaması kullanıldığında bir reklam açmayı da hedefleyebilirler.
Christian Papathanasiou ile birlikte geçen yıl DefCon’da bir Android rootkit ‘i sergileyen Percoco, “Böylece ekranda birbiriyle savaşan reklamların tüm dünyası artık mümkün” dedi.
Schulte’ye göre bu işlevsellik, kullanıcı uygulamayı indirdiğinde görüntülenen izinlerde herhangi bir kırmızı bayrak oluşturmayacaktır, çünkü uygulamaların Etkinlik Hizmeti olarak adlandırılan telefon durumunu kontrol etmesi meşru bir işlevdir.
Percoco, araştırmacıların birkaç hafta önce bulguları hakkında Google’dan biriyle konuştuklarını ve bu kişinin bir sorun olduğunu kabul ettiğini ve şirketin bunu kullanan yasal uygulamaların işlevselliğini bozmadan nasıl ele alacağını bulmaya çalıştığını söyledi.
Yorum için iletişime geçildiğinde, bir Google temsilcisi konuyu inceleyeceğini söyledi.
Güncelleme 8 Ağustos 2011, saat 15:50 PT Bir Google sözcüsü şu açıklamayı yaptı: “Uygulamalar arasında geçiş yapmak, uygulamalar arasında zengin etkileşimi teşvik etmek için birçok uygulama tarafından kullanılan istenen bir özelliktir. Android Market’te bu tekniği kötü niyetli olarak kullanan herhangi bir uygulama görmedik ve bunu yapan uygulamaları kaldıracağız.”
Google sözcüsü ayrıca CNET’i bu işlevselliğin nasıl kullanıldığına bir örnek olarak Visidon’un AppLock’una yönlendirdi. Uygulama, telefonunuzun Gmail uygulaması gibi bölümlerine yetkisiz erişimi önlemek için yüz tanıma teknolojisini kullanır. Bu örnekteki güvenlik açığında açıklanan işlevselliğin meşru kullanımı, dokunduğunuzda AppLock’un parola isteyen arayüzünü Gmail’inkinin üzerine kaydıracaktır. AppLock parola olarak yüzünüzü kullandığından, yüzünüzün onaylanmış parola olarak tanınmasına izin verecek ve ardından kayarak uzaklaşacaktır.
Güncelleme 8 Ağustos 2011, saat 7:40. PT Percoco’nun Google açıklamasına yanıtı: “Sorun uygulama değiştirme değil. Asıl sorun, diğer uygulamaların hangi uygulamanın ön planda olduğunu belirleyebilmesi ve ardından kullanıcı izin vermeden çalışan uygulamanın önüne geçmeye karar verebilmesidir. Ayrıca, kötü niyetli bir uygulama ile yasal bir uygulama arasındaki farkı nasıl belirleyebileceklerini de göremiyoruz, çünkü bir kullanıcı kötü niyetli olduğunu bildirene kadar her ikisi de neredeyse aynı görünecektir. ‘Bir uygulamayı kaldırmadan önce kötü amaçlı olduğu bildirilene kadar bekle’ yaklaşımı tehlikelidir ve saldırganlar Google’ın tespit edip Market’ten kaldırabileceğinden çok daha hızlı bir şekilde uygulama yayınlayabilecekleri için muhtemelen sonuçsuz bir çaba olacaktır.”
CNET’ten Seth Rosenblatt bu rapora katkıda bulunmuştur.
Source: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/
