A kutatók szerint a fejlesztők az Android tervezési hibáján keresztül bosszantó felugró hirdetéseket vagy adathalász-támadásokat csempészhetnek a mobilalkalmazásokba.
LAS VEGAS–Kutatók felfedeztek egy olyan tervezési hibát az Androidban, amelyet bűnözők adathalászattal történő adatlopásra, vagy a hirdetők idegesítő felugró hirdetések telefonokra juttatására használhatnak.
A fejlesztők olyan alkalmazásokat hozhatnak létre, amelyek ártalmatlannak tűnnek, de például egy hamis banki alkalmazás bejelentkezési oldalát jelenítik meg, amikor a felhasználó a törvényes banki alkalmazást használja – mondta Nicholas Percoco, a Trustwave SpiderLabs vezető alelnöke és vezetője a DefCon hackerkonferencián ma tartott kutatási előadása előtt.
Jelenleg azok az alkalmazások, amelyek egy másik alkalmazás megtekintése közben kommunikálni szeretnének a felhasználóval, csak egy figyelmeztetést tolnak a képernyő tetején lévő értesítési sávba. De az Android szoftverfejlesztő készletében van egy olyan alkalmazásprogramozási felület, amellyel egy adott alkalmazás előtérbe helyezhető – mondta.
„Az Android lehetővé teszi, hogy felülbíráljuk a vissza gombok szabványát” – mondta Sean Schulte, a Trustwave SSL (Secure Sockets Layer) fejlesztője.
„Emiatt az alkalmazás képes ellopni a fókuszt, és nem tudod megnyomni a vissza gombot a kilépéshez,” mondta Percoco, hozzátéve, hogy a problémát a Focus Stealing Vulnerability-nek nevezték el.
A kutatók egy olyan proof-of-concept eszközt hoztak létre, amely egy játék, de a Facebook, az Amazon, a Google Voice és a Google e-mail kliens hamis kijelzőit is kiváltja. Percoco szerint az eszköz egy törvényes alkalmazáson belül telepíti magát egy hasznos teher részeként, és szolgáltatásként regisztrálja magát, így a telefon újraindítása után újra működésbe lép.
A demó, amely azt mutatja, hogy egy felhasználó megnyitja az alkalmazást, és a Facebook bejelentkezési képernyőjét látja, az egyetlen jel, hogy valami furcsa történt, egy olyan gyors képernyőbillentyű, amelyet sok felhasználó észre sem vesz. A hamis képernyő teljesen helyettesíti a legitim képernyőt, így a felhasználó nem fogja tudni észrevenni, hogy valami nincs a helyén.
Ezzel a tervezési hibával a játék- vagy alkalmazásfejlesztők célzott felugró hirdetéseket hozhatnak létre, mondta Percoco. A hirdetések lehetnek pusztán idegesítőek, mint a legtöbb felugró ablak, de célzottan is felugorhat egy hirdetés, amikor egy versenytárs applikációját használják – tette hozzá.
„Így a képernyőn egymással harcoló hirdetések egész világa lehetséges” – mondta Percoco, aki Christian Papathanasiou-val együtt tavaly a DefConon bemutatott egy Android rootkitet.
Schulte szerint ez a funkció nem vetne fel vörös zászlót az engedélyekben, amelyek a felhasználó számára az alkalmazás letöltésekor megjelennek, mivel az alkalmazások számára ez egy törvényes funkció a telefon állapotának ellenőrzésére az úgynevezett Tevékenységi szolgáltatásban.
Percoco szerint a kutatók néhány hete beszéltek valakivel a Google-nál az eredményeikről, és az illető elismerte, hogy probléma van, és azt mondta, hogy a vállalat megpróbálja kitalálni, hogyan lehet megoldani anélkül, hogy a törvényes alkalmazások funkcionalitását megtörné, amelyek esetleg használják.
Amikor megkerestük a Google egyik képviselőjét, azt mondta, hogy utánanéz az ügynek.
Frissítés 2011. augusztus 8-án 15:50-kor. PT A Google szóvivője a következő nyilatkozatot tette: „Az alkalmazások közötti váltás egy olyan kívánt képesség, amelyet számos alkalmazás használ az alkalmazások közötti gazdag interakció ösztönzésére. Nem láttunk olyan alkalmazást, amely rosszindulatúan használná ezt a technikát az Android Market-en, és minden olyan alkalmazást eltávolítunk, amelyik ezt teszi.”
A Google szóvivője a CNET-et a Visidon AppLock nevű termékére is irányította, amely példaként szolgál arra, hogyan használják ezt a funkciót. Az alkalmazás arcfelismerő technológiát használ, hogy megakadályozza a telefon egyes részeihez, például a Gmail alkalmazáshoz való illetéktelen hozzáférést. A példában leírt sebezhetőségben leírt funkció jogszerű használata az AppLock jelszókérő felületét a Gmail felületére csúsztatná, amikor megérinti. Mivel az AppLock az Ön arcát használja jelszóként, felcsúszik, lehetővé teszi, hogy az Ön arcát felismerjék, mint jóváhagyott jelszót, majd elcsúszik.
Frissítés 2011. augusztus 8-án, 19:40-kor. PT Percoco válasza a Google nyilatkozatára: „Nem az alkalmazásváltás a probléma. Az igazi probléma az, hogy más alkalmazások képesek azonosítani, hogy melyik alkalmazás van előtérben, majd úgy döntenek, hogy a felhasználó engedélye nélkül a futó alkalmazás elé ugranak. Azt sem értjük, hogyan tudnák meghatározni a különbséget egy rosszindulatú és egy legitim alkalmazás között, mivel mindkettő szinte ugyanúgy nézne ki, amíg a felhasználó nem jelenti nekik, hogy rosszindulatú. A „várjuk meg, amíg egy alkalmazásról rosszat jelentenek, mielőtt eltávolítjuk” álláspont veszélyes, és valószínűleg eredménytelen erőfeszítésnek bizonyul, mivel a támadók sokkal gyorsabban tudnának alkalmazásokat közzétenni, mint ahogy a Google azonosítani és eltávolítani tudná azokat a Marketből.” – olvasható a közleményben.
A CNET munkatársa, Seth Rosenblatt hozzájárult a jelentéshez.
Source: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/