Comment les services d`accessibilité android peut être utilisé pour pirater votre téléphone

On dit que la route de l`enfer est pavé de bonnes intentions. Vous pouvez faire quelque chose avec les extrémités les plus magnanimes, mais si vous ne faites pas attention, il peut tous horriblement mal tourné aller, très rapidement.

Une vulnérabilité de sécurité dans les services d`accessibilité d`Android - découverte par la sécurité SkyCure chercheur Yair Amit - est un excellent exemple. En exploitant une faille dans l`outil qui permet aux personnes aveugles et malvoyants d`utiliser les appareils Android, un attaquant pourrait prendre le contrôle du dispositif, dans le processus d`acquérir des privilèges élevés, et de saisir l`accès aux fichiers qui y sont stockés.

Jetons un coup d`oeil, et découvrez comment vous pouvez empêcher que cela se produise.

Comprendre le Flaw

L`exploit prend appui sur des recherches antérieures par SkyCure, publiée lors de la conférence RSA de cette année. La recherche a exploré comment, en créant des applications qui peuvent tirer sur d`autres, et à son tour lancer les services d`accessibilité intégrés (améliorations de l`interface utilisateur conçue pour aider les utilisateurs handicapés), vous pouvez introduire différents types de comportement malin, comme le montre le vidéo ci-dessous.

Comme preuve de concept, SkyCure a créé un jeu basé sur le populaire Rick et Morty série télévisée, qui lance en fait un service d`accessibilité malveillant, tout à l`insu de l`utilisateur.

En décrivant la menace d`origine, SkyCure dit qu`il pourrait être utilisé pour « donner un hacker malveillant autorisations quasi illimité à leurs programmes malveillants ». Une application potentielle de l`attaque, SkyCure dit, est de déployer ransomware. Il pourrait également être utilisé pour composer des e-mails et documents d`entreprise via le dispositif de l`utilisateur, comme l`activité de dispositif de surveillance et persistante.

Ce type d`attaque a un nom - clickjacking, ou moins souvent une « réparation UI attaque ». OWASP (le projet Open Web Application Security) définit clickjacking comme quand « un attaquant utilise plusieurs couches transparentes ou opaques pour duper un utilisateur en cliquant sur un bouton ou un lien sur une autre page quand ils avaient l`intention de cliquer sur la page de haut niveau ».

A partir de Android Lollipop (5.x), Google a ajouté une solution de contournement qui, en théorie, aurait fait ce genre d`attaque impossible. Le changement introduit par Google signifie que si un utilisateur souhaite activer les services d`accessibilité, le bouton OK ne pouvait pas être couvert par une superposition, ce qui empêche un attaquant de les lancer en catimini.

Pour référence, voici ce qu`il ressemble lorsque vous lancez un service d`accessibilité manuellement. Comme vous pouvez le voir, Google est très explicite sur les autorisations requises Android. Cela dissuadera de nombreux utilisateurs d`installer des services d`accessibilité en premier lieu.Comment App Des autorisations de travail & Pourquoi vous devriez soins [Android]Comment App Des autorisations de travail & Pourquoi vous devriez soins [Android]forces applis Android de déclarer les autorisations dont ils ont besoin quand ils les installent. Vous pouvez protéger votre vie privée, la sécurité et la facture de téléphone cellulaire en faisant attention aux autorisations lors de l`installation des applications - bien que de nombreux utilisateurs ...Lire la suite

Comment vaincre les protections de Google

Cependant, Yair Amit, a pu trouver une faille dans l`approche de Google.

« Je suis dans un hôtel quand il me est apparu que, bien que la porte de l`hôtel la plupart du temps bloqué mon point de vue du couloir extérieur, il y avait un judas qui ne bloquait pas la vue. Ce fut mon épiphanie qui m`a amené à penser que s`il y avait un trou dans la superposition, le bouton OK pourrait être « la plupart du temps couvert » et encore accepter une touche dans la zone potentiellement très faible qui n`a pas été couvert, contournant ainsi la nouvelle protection et toujours cacher la véritable intention de l`utilisateur « .

Video: Titorial désactivé talkback شرح طريقة إقاف

Pour tester cette idée sur, développeur de logiciels SkyCure Elisha Eshed a modifié le jeu Rick et Morty, qui a été utilisé dans l`original exploit de preuve de concept. Eshed a créé un petit trou dans la superposition, qui a été déguisé comme un élément de jeu, mais était en fait le bouton de confirmation sur le service d`accessibilité. Lorsque l`utilisateur a cliqué sur l`élément de jeu, le service a été lancé, et avec elle, tout le comportement indésirable.

Alors que l`original a travaillé contre exploit pratiquement tous les appareils Android fonctionnant Android KitKat et plus tôt, cette approche augmente le nombre de périphériques exploitables pour inclure ceux en cours d`exécution Android 5.0 Lollipop. En conséquence, presque tous les appareils Android actifs sont vulnérables à cette attaque. SkyCure estime que jusqu`à 95,4% des appareils Android pourrait être affectée.Il est officiel: Nexus 5 et Android 4.4 KitKat Are HereIl est officiel: Nexus 5 et Android 4.4 KitKat Are HereLe Nexus 5 est maintenant en vente dans le Google Play Store et il est en cours d`exécution de la nouvelle marque Android 4.4 KitKat, qui sera également déploierons à d`autres appareils "dans les prochaines semaines."Lire la suite

Contre Il atténuation

Conformément à sensibles procédures de divulgation responsables, SkyCure premier contact Google avant de le relâcher au public, afin de leur donner l`occasion de le réparer. L`équipe de sécurité Android de Google ont décidé de ne pas fixer la question, et accepter le risque en conséquence de la conception actuelle.

Pour atténuer la menace, SkyCure recommande que les utilisateurs exécutent une version mise à jour d`une solution de défense contre les menaces mobiles. Ceux-ci défendent de manière proactive contre les menaces, tout comme un IPS (Intrusion Protection System) ou IDS (système de détection d`intrusion) ne. Cependant, ils sont massivement destinés aux utilisateurs de l`entreprise, et sont bien au-delà des moyens de la plupart des utilisateurs à domicile.

SkyCure recommandent les utilisateurs à domicile se protéger en veillant à ce qu`ils téléchargent des applications seulement à partir de sources de confiance, comme le Google Play Store. Il recommande également que les appareils exécutent une version mise à jour d`Android, mais compte tenu de l`écosystème Android fragmenté et Procédé de mise à jour de support entraîné,, C`est plus facile à dire qu`à faire.Est-il sûr d`installer les applications Android de sources inconnues?Est-il sûr d`installer les applications Android de sources inconnues?Le Google Play Store n`est pas votre seule source d`applications, mais est-il sûr de chercher ailleurs?Lire la suite

AndroidUnknownSources-Unknown-Sources-alerte

Il convient de noter que Marshmallow - la dernière version d`Android - oblige les utilisateurs à créer manuellement et plus précisément une superposition du système en modifiant les autorisations pour cette application. Bien que ce type de vulnérabilité pourrait affecter les appareils fonctionnant sous Marshmallow, dans la réalité qui ne va pas se produire, car il est beaucoup plus difficile à exploiter.

Tout mettre en contexte

SkyCure ont identifié une manière dangereuse et viable pour un attaquant de dominer complètement un appareil Android. Alors qu`il est effrayant, il vaut la peine de vous rappeler que beaucoup de cartes doivent tomber en place pour une attaque sur la base au travail.

L`attaquant doit soit faire une des deux choses. Une tactique serait de déployer leur application sur le Google Play Store - à son tour, sans passer par l`analyse statique extrêmement vigoureuses et les procédures de détection des menaces. Cela est extrêmement peu probable. Six ans depuis son ouverture, et des millions d`applications plus tard, Google a obtenu très bien à identifier les logiciels malveillants et les logiciels faux. Sur ce point, a donc Apple, bien que Microsoft a encore un long chemin à parcourir.

Sinon, les attaquants devront convaincre un utilisateur de configurer leur téléphone pour accepter des logiciels provenant de sources non-officielles, et d`installer une application autrement inconnue. Comme il est peu probable de trouver un large public, il faudra les attaquants soit choisir une cible et « lance Phish » eux.

Bien que ce sera inévitablement un cauchemar pour les services informatiques des entreprises, ce sera moins un problème pour les utilisateurs ordinaires, la grande majorité des applications obtenir leurs à partir d`une source unique, officielle - le Google Play Store.

Articles connexes