Według badaczy, programiści mogą wprowadzać irytujące wyskakujące reklamy lub ataki phishingowe do aplikacji mobilnych za pomocą błędu projektowego w Androidzie.
LAS VEGAS – Naukowcy odkryli, jak twierdzą, wadę systemu Android, która może być wykorzystywana przez przestępców do kradzieży danych za pomocą phishingu lub przez reklamodawców do wyświetlania irytujących wyskakujących reklam na telefonach.
Deweloperzy mogą tworzyć aplikacje, które wydają się być nieszkodliwe, ale mogą wyświetlać fałszywą stronę logowania do aplikacji bankowej, na przykład, gdy użytkownik korzysta z legalnej aplikacji bankowej, Nicholas Percoco, starszy wiceprezes i szef SpiderLabs w Trustwave, powiedział przed swoją prezentacją na temat badań na dzisiejszej konferencji hakerów DefCon.
Obecnie aplikacje, które chcą komunikować się z użytkownikiem podczas przeglądania innej aplikacji, po prostu przesyłają alert na pasek powiadomień u góry ekranu. Istnieje jednak interfejs programowania aplikacji w zestawie programistycznym Androida, którego można użyć do wypchnięcia określonej aplikacji na pierwszy plan, powiedział.
„Android pozwala na zastąpienie standardu (naciskania) przycisków wstecz” – powiedział Sean Schulte, programista SSL (Secure Sockets Layer) w Trustwave.
„Z tego powodu aplikacja jest w stanie ukraść fokus, a użytkownik nie jest w stanie nacisnąć przycisku Wstecz, aby wyjść” – powiedział Percoco, dodając, że nazwali tę kwestię podatnością na kradzież fokusu.
Naukowcy stworzyli narzędzie proof-of-concept, które jest grą, ale także uruchamia fałszywe wyświetlacze dla Facebooka, Amazona, Google Voice i klienta poczty e-mail Google. Narzędzie instaluje się jako część ładunku wewnątrz legalnej aplikacji i rejestruje się jako usługa, dzięki czemu powraca po ponownym uruchomieniu telefonu, powiedział Percoco.
W demonstracji pokazującej użytkownika otwierającego aplikację i widzącego ekran logowania do Facebooka, jedyną wskazówką, że wydarzyło się coś dziwnego, jest migotanie ekranu tak szybkie, że wielu użytkowników by tego nie zauważyło. Fałszywy ekran całkowicie zastępuje legalny, więc użytkownik nie będzie w stanie stwierdzić, że cokolwiek jest nie na swoim miejscu.
Percoco powiedział, że dzięki tej wadzie projektowej twórcy gier lub aplikacji mogą tworzyć ukierunkowane reklamy wyskakujące. Reklamy mogą być po prostu irytujące, jak większość wyskakujących okienek, ale mogą być również ukierunkowane na wyświetlanie reklam, gdy używana jest aplikacja konkurencji, dodał.
„Tak więc cały świat reklam walczących ze sobą na ekranie jest teraz możliwy” – powiedział Percoco, który wraz z Christianem Papathanasiou zademonstrował rootkita Androida na DefCon w zeszłym roku.
Według Schulte, funkcja ta nie spowodowałaby żadnych czerwonych flag w uprawnieniach wyświetlanych podczas pobierania aplikacji przez użytkownika, ponieważ jest to uzasadniona funkcja dla aplikacji do sprawdzania stanu telefonu w tak zwanej usłudze aktywności.
Percoco powiedział, że badacze rozmawiali z kimś z Google o swoich odkryciach kilka tygodni temu i że osoba ta przyznała, że istnieje problem i powiedziała, że firma próbuje wymyślić, jak go rozwiązać bez naruszania funkcjonalności legalnych aplikacji, które mogą z niego korzystać.
Przedstawiciel Google, z którym skontaktowaliśmy się w celu uzyskania komentarza, powiedział, że przyjrzy się tej sprawie.
Aktualizacja 8 sierpnia 2011 o 3:50 po południu. PT Rzecznik Google wydał następujące oświadczenie: „Przełączanie się między aplikacjami jest pożądaną funkcją wykorzystywaną przez wiele aplikacji w celu zachęcenia do bogatej interakcji między aplikacjami. Nie widzieliśmy żadnych aplikacji złośliwie wykorzystujących tę technikę w Android Market i usuniemy wszelkie aplikacje, które to robią”.
Rzecznik Google skierował również CNET do Visidon AppLock jako przykład wykorzystania tej funkcji. Aplikacja wykorzystuje technologię rozpoznawania twarzy, aby zapobiec nieautoryzowanemu dostępowi do części telefonu, takich jak aplikacja Gmail. Uzasadnione użycie funkcji opisanej w luce w tym przykładzie spowodowałoby przesunięcie interfejsu żądania hasła AppLock nad interfejs Gmaila po jego dotknięciu. Ponieważ AppLock używa twarzy jako hasła, wsuwa się, pozwala na rozpoznanie twarzy jako zatwierdzonego hasła, a następnie odsuwa się.
Aktualizacja 8 sierpnia 2011 o 7:40 p.m. PT Odpowiedź Percoco na oświadczenie Google: „Przełączanie aplikacji nie jest problemem. Prawdziwym problemem jest zdolność innych aplikacji do zidentyfikowania, która aplikacja jest na pierwszym planie, a następnie podjęcia decyzji o wskoczeniu przed tę uruchomioną aplikację bez zgody użytkownika. Nie widzimy również, w jaki sposób mogliby określić różnicę między złośliwą aplikacją a legalną, ponieważ obie wyglądałyby prawie identycznie, dopóki użytkownik nie zgłosiłby jej jako złośliwej. Stanowisko „poczekaj, aż aplikacja zostanie zgłoszona jako złośliwa, zanim ją usuniesz” jest niebezpieczne i prawdopodobnie okaże się bezowocnym wysiłkiem, ponieważ atakujący mogą publikować aplikacje znacznie szybciej, niż Google może je zidentyfikować i usunąć z Marketu „.
Seth Rosenblatt z CNET przyczynił się do powstania tego raportu.
Source: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/