Ifølge forskere kan udviklere snige irriterende pop-up-reklamer eller phishing-angreb ind i mobilapps via en designfejl i Android.
LAS VEGAS – Forskere har opdaget, hvad de mener er en designfejl i Android, som kan bruges af kriminelle til at stjæle data via phishing eller af annoncører til at bringe irriterende pop-up-reklamer på telefonen.
Udviklere kan lave apps, der ser uskyldige ud, men som kan vise en falsk log-in-side til en bank-app, når brugeren bruger den legitime bank-app, sagde Nicholas Percoco, senior vice president og leder af SpiderLabs hos Trustwave, før han præsenterede forskningen på hackerkonferencen DefCon i dag.
I øjeblikket skubber apps, der ønsker at kommunikere med brugeren, mens en anden app vises, bare en advarsel til meddelelseslinjen øverst på skærmen. Men der er en programmeringsgrænseflade i Androids Software Development Kit, som kan bruges til at skubbe en bestemt app i forgrunden, sagde han.
“Android giver dig mulighed for at tilsidesætte standarden for (at trykke på) tilbage-knapperne,” siger Sean Schulte, SSL-udvikler (Secure Sockets Layer) hos Trustwave.
“På grund af det kan appen stjæle fokus, og du kan ikke trykke på tilbage-knappen for at komme ud,” siger Percoco og tilføjer, at de har døbt problemet Focus Stealing Vulnerability.
Forskerne har skabt et proof-of-concept-værktøj, der er et spil, men som også udløser falske skærme til Facebook, Amazon, Google Voice og Googles e-mail-klient. Værktøjet installerer sig selv som en del af en payload i en legitim app og registrerer sig som en tjeneste, så det kommer op igen, når telefonen genstartes, siger Percoco.
I en demo, hvor en bruger åbner appen og ser log-in-skærmen til Facebook, er den eneste indikation af, at der er sket noget mærkeligt, et skærmbillede, der er så hurtigt, at mange brugere ikke ville bemærke det. Den falske skærm erstatter helt den legitime, så en bruger ikke kan se, at noget ikke er, som det skal være.
Med denne designfejl kan spil- eller app-udviklere skabe målrettede pop-up-reklamer, siger Percoco. Annoncerne kan blot være irriterende, som de fleste pop-ups er, men de kan også være målrettet til at vise en annonce, når en konkurrents app bruges, tilføjede han.
“Så hele verden af annoncer, der kæmper med hinanden på skærmen, er mulig nu,” siger Percoco, der sammen med Christian Papathanasiou demonstrerede et Android-rootkit på DefCon sidste år.
Funktionaliteten ville ikke rejse nogen røde flag i de tilladelser, der vises, når brugeren downloader appen, fordi det er en legitim funktion for apps at tjekke telefonens tilstand i det, der kaldes Activity Service, ifølge Schulte.
Percoco sagde, at forskerne talte med en person hos Google om deres fund for et par uger siden, og at personen erkendte, at der var et problem, og sagde, at virksomheden forsøgte at finde ud af, hvordan man kunne løse det uden at ødelægge funktionaliteten af legitime apps, der muligvis bruger det.
Da vi kontaktede en repræsentant fra Google for en kommentar, sagde han, at han ville undersøge sagen.
Opdatering 8. august 2011 kl. 15.50 PT En talsmand fra Google kom med denne udtalelse: “At skifte mellem applikationer er en ønsket funktion, der bruges af mange applikationer til at opmuntre til rig interaktion mellem applikationer. Vi har ikke set nogen apps, der bruger denne teknik i ond hensigt på Android Market, og vi vil fjerne alle apps, der gør det.”
Google-talsmanden henviste også CNET til Visidons AppLock som et eksempel på, hvordan denne funktionalitet bruges. Appen bruger ansigtsgenkendelsesteknologi til at forhindre uautoriseret adgang til dele af din telefon, f.eks. din Gmail-app. Den legitime brug af funktionaliteten, der er beskrevet i sårbarheden i dette eksempel, ville skubbe AppLocks grænseflade, der anmoder om adgangskode, over Gmails, når du trykker på den. Da AppLock bruger dit ansigt som adgangskode, vil den glide på, lade dit ansigt blive genkendt som den godkendte adgangskode og derefter glide væk.
Opdatering 8. august 2011 kl. 19.40 PT Percocos svar på Googles udtalelse: “Applikationsskift er ikke problemet. Det virkelige problem er andre apps’ evne til at identificere, hvilken app der er i forgrunden, og derefter beslutte sig for at hoppe ind foran den kørende app, uden at brugeren giver tilladelse til det. Vi kan heller ikke se, hvordan de skulle kunne se forskel på en ondsindet app og en legitim app, da de begge ville se næsten identiske ud, indtil en bruger rapporterede den til dem som ondsindet. Holdningen om at “vente med at fjerne en app, til den bliver rapporteret som dårlig” er farlig og vil sandsynligvis vise sig at være en frugtesløs indsats, da angribere kan poste apps meget hurtigere, end Google kan identificere og fjerne dem fra markedet.”
CNET’s Seth Rosenblatt har bidraget til denne rapport.
Source: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/