Teadlaste sõnul võivad arendajad Androidis asuva disainivigade kaudu mobiilirakendustesse libistada tüütuid hüpikreklaame või andmepüügirünnakuid.
LAS VEGAS – Uurijad on avastanud Androidi disainiviga, mida kurjategijad võivad kasutada andmete varguseks andmepüügi teel või reklaamijad tüütute hüpikreklaamide toomiseks telefonidesse.
Arendajad võivad luua rakendusi, mis näivad olevat süütud, kuid mis võivad kuvada näiteks võltsitud pangarakenduse sisselogimislehe, kui kasutaja kasutab seaduslikku pangarakendust, ütles Nicholas Percoco, Trustwave’i vanem asepresident ja SpiderLabs’i juht, enne oma tänast ettekannet uurimuse kohta DefCon häkkerite konverentsil.
Praegu edastavad rakendused, mis soovivad kasutajaga suhelda, kui mõni teine rakendus on vaatamisel, lihtsalt teateid ekraani ülaosas asuvale teavitusribale. Kuid Androidi tarkvaraarenduskomplektis on olemas rakenduse programmeerimisliides, mida saab kasutada konkreetse rakenduse esiplaanile toomiseks, ütles ta.
“Android võimaldab teil standardist (tagasi nuppude vajutamise) üle sõita,” ütles Sean Schulte, Trustwave’i SSL (Secure Sockets Layer) arendaja.
“Selle tõttu on rakendus võimeline varastama fookust ja sa ei saa väljumiseks tagasi nuppu vajutada,” ütles Percoco, lisades, et nad on nimetanud probleemi Focus Stealing Vulnerability.
Teadlased on loonud proof-of-concept tööriista, mis on mäng, kuid käivitab ka Facebooki, Amazoni, Google Voice’i ja Google’i e-posti kliendi võltsitud ekraanid. Percoco ütles, et tööriist installeerib end kasuliku koormuse osana seadusliku rakenduse sisse ja registreerib end teenusena, nii et see tuleb pärast telefoni taaskäivitamist uuesti üles.
Demo, kus kasutaja avab rakenduse ja näeb Facebooki sisselogimisekraani, näitab, et ainus märk sellest, et midagi on juhtunud, on ekraani hüplemine, mis on nii kiire, et paljud kasutajad ei märka seda. Võltsitud ekraan asendab täielikult seadusliku ekraani, nii et kasutaja ei saa aru, et midagi on valesti.
Percoco sõnul saavad mängu või rakenduse arendajad selle disainivigade abil luua sihipäraseid hüpikreklaame. Ta lisas, et reklaamid võivad olla lihtsalt tüütud, nagu enamik hüpikakendeid, kuid need võivad olla ka suunatud reklaami hüpikakende kuvamiseks, kui kasutatakse konkurendi rakendust.
“Seega on nüüd võimalik kogu maailm, kus reklaamid üksteisega ekraanil võitlevad,” ütles Percoco, kes koos Christian Papathanasiou’ga demonstreeris eelmisel aastal DefConil Androidi rootkit ’i.
Schulte sõnul ei tekitab see funktsioon kasutajale rakenduse allalaadimisel kuvatavates õigustes mingeid punaseid lipukesi, sest see on rakenduste jaoks seaduslik funktsioon, et kontrollida telefoni seisundit nn tegevusteenuses.
Percoco ütles, et teadlased rääkisid mõne nädala eest kellegagi Google’is oma leidudest ja et see isik tunnistas, et probleem on olemas, ning ütles, et ettevõte üritab välja selgitada, kuidas seda lahendada, ilma et see rikuks seaduslikke rakendusi, mis võivad seda kasutada.
Google’i esindaja ütles kommentaaride saamiseks, et ta uurib asja.
Uuendus 8. august 2011 kell 15:50. PT Google’i pressiesindaja esitas järgmise avalduse: “Rakenduste vahel vahetamine on soovitud võimalus, mida paljud rakendused kasutavad, et soodustada rikkalikku suhtlemist rakenduste vahel. Me ei ole näinud ühtegi rakendust, mis seda tehnikat Android Marketis pahatahtlikult kasutaks, ja me eemaldame kõik rakendused, mis seda teevad.”
Google’i pressiesindaja suunas CNETi ka Visidon´s AppLocki kui näite selle funktsiooni kasutamise kohta. Rakendus kasutab näotuvastustehnoloogiat, et takistada volitamata juurdepääsu telefoni osadele, näiteks Gmaili rakendusele. Selles näites kirjeldatud haavatavuse seaduslik kasutamine libistaks AppLocki parooli päringuliidese Gmaili üle, kui te seda puudutate. Kuna AppLock kasutab teie nägu paroolina, siis libistatakse see sisse, lubatakse teie nägu tunnustatud paroolina ära tunda ja seejärel libistatakse ära.
Uuendus 8. august 2011 kell 19:40. PT Percoco vastus Google’i avaldusele: “Taotluse vahetamine ei ole probleem. Tegelik probleem on teiste rakenduste võime tuvastada, milline rakendus on esiplaanil ja seejärel otsustada hüpata selle käimasoleva rakenduse ette, ilma et kasutaja annaks selleks luba. Samuti ei näe me, kuidas nad suudavad kindlaks teha, kas tegemist on pahatahtliku või seadusliku rakendusega, sest mõlemad näevad peaaegu identsed välja, kuni kasutaja teatab neile, et tegemist on pahatahtliku rakendusega. Oodata, kuni rakendusest teatatakse, enne kui see eemaldatakse, on ohtlik ja tõenäoliselt osutub see asjatuks, sest ründajad suudavad rakendusi palju kiiremini postitada, kui Google suudab neid tuvastada ja turult eemaldada.”
CNETi Seth Rosenblatt aitas sellele aruandele kaasa.
Source: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/