Android може дозволити мобільну рекламу або фішингові спливаючі вікна

На думку дослідників, розробники можуть вбудовувати набридливу спливаючу рекламу або фішингові атаки в мобільні додатки через недоліки дизайну в Android.

ЛАС-ВЕГАС – Дослідники виявили, як вони кажуть, недолік в Android, який може бути використаний злочинцями для крадіжки даних за допомогою фішингу або рекламодавцями для показу набридливої спливаючої реклами на телефонах.

Розробники можуть створювати додатки, які здаються нешкідливими, але можуть відображати фальшиву сторінку входу в банківський додаток, наприклад, коли користувач використовує легальний банківський додаток, заявив Ніколас Перкоко, старший віце-президент і керівник SpiderLabs в Trustwave, напередодні своєї презентації дослідження на хакерській конференції DefCon сьогодні.

Наразі програми, які хочуть спілкуватися з користувачем під час перегляду іншої програми, просто надсилають сповіщення на панель сповіщень у верхній частині екрана. Але є інтерфейс прикладного програмування в Android Software Development Kit, який можна використовувати для того, щоб вивести певний додаток на перший план, сказав він.

“Android дозволяє перевизначити стандарт для (натискання) задніх кнопок”, – сказав Шон Шульте, розробник SSL (Secure Sockets Layer) в Trustwave.

“Через це додаток може вкрасти фокус, і ви не зможете натиснути кнопку “Назад”, щоб вийти з програми”, – сказав Перкоко, додавши, що вони назвали цю проблему вразливістю для крадіжки фокусу.

Дослідники створили інструмент для перевірки концепції, який є грою, але також запускає фальшиві дисплеї для Facebook, Amazon, Google Voice та поштового клієнта Google. За словами Перкоко, інструмент встановлюється як частина корисного навантаження всередині легітимного додатку і реєструється як служба, тому він з’являється після перезавантаження телефону.

У демонстраційному ролику, де користувач відкриває додаток і бачить екран входу в Facebook, єдиною ознакою того, що сталося щось дивне, є миготіння екрану, яке відбувається так швидко, що багато користувачів цього не помітять. Підроблений екран повністю замінює справжній, тому користувач не зможе сказати, що щось не на своєму місці.

За словами Перкоко, використовуючи цей недолік дизайну, розробники ігор або додатків можуть створювати таргетовану спливаючу рекламу. Він додав, що реклама може просто дратувати, як і більшість спливаючих вікон, але вона також може бути націлена на те, щоб з’являтися під час використання додатку конкурента.

“Тож цілий світ реклами, що бореться одна з одною на екрані, тепер можливий”, – сказав Перкоко, який разом з Крістіаном Папатанасіу продемонстрував руткіт для Android на DefCon минулого року.

За словами Шульте, ця функція не викличе жодних застережень у дозволах, що відображаються під час завантаження програми, оскільки це законна функція для додатків перевіряти стан телефону в так званій службі активності (Activity Service).

За словами Перкоко, кілька тижнів тому дослідники розмовляли з кимось у Google про свої висновки, і ця людина визнала, що проблема існує, і сказала, що компанія намагається з’ясувати, як її вирішити, не порушуючи функціональність легальних додатків, які можуть використовувати цю технологію.

Коли до нього звернулися за коментарем, представник Google відповів, що вивчить це питання.

Оновлення 8 серпня 2011 року о 15:50. PT Представник Google надав таку заяву: “Перемикання між додатками є бажаною можливістю, яка використовується багатьма програмами для заохочення багатогранної взаємодії між додатками. Ми не бачили жодного додатка, який би зловмисно використовував цю технологію в Android Market, і ми видалимо всі додатки, які це роблять”.

Представник Google також звернув увагу CNET на Visidon AppLock як приклад використання цієї функції. Додаток використовує технологію розпізнавання обличчя, щоб запобігти несанкціонованому доступу до частин вашого телефону, наприклад, до програми Gmail. Легальне використання функціоналу, описаного в уразливості в цьому прикладі, призведе до того, що при натисканні на нього інтерфейс AppLock, що запитує пароль, буде замінений на інтерфейс Gmail. Оскільки AppLock використовує ваше обличчя як пароль, він насувається, дозволяє вашому обличчю бути розпізнаним як затверджений пароль, а потім відсувається.

Оновлення 8 серпня 2011 року о 19:40. PT Відповідь Percoco на заяву Google: “Перемикання додатків не є проблемою. Справжня проблема полягає в тому, що інші програми можуть визначити, яка з них знаходиться на передньому плані, а потім вирішити перестрибнути перед запущеною програмою без дозволу користувача на це. Ми також не розуміємо, як вони можуть відрізнити шкідливий додаток від легального, оскільки обидва виглядають майже ідентично, поки користувач не повідомить про них як про зловмисні. Позиція “почекати, поки про додаток не повідомлять, що він шкідливий, перш ніж видаляти” є небезпечною і, швидше за все, виявиться марною, оскільки зловмисники можуть розміщувати додатки набагато швидше, ніж Google зможе їх ідентифікувати та видалити з Маркету”.

Сет Розенблатт з CNET взяв участь у підготовці цього звіту.

Source: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/