Raziskovalci ugotavljajo, da lahko razvijalci z oblikovno napako v sistemu Android v mobilne aplikacije vtihotapijo nadležne pojavne oglase ali ribarske napade.
LAS VEGAS – Raziskovalci so odkrili po njihovem mnenju pomanjkljivost v sistemu Android, ki jo lahko kriminalci uporabijo za krajo podatkov z ribarjenjem ali oglaševalci za prikazovanje nadležnih pojavnih oglasov v telefonih.
Razvijalci lahko ustvarijo aplikacije, ki se zdijo neškodljive, vendar lahko na primer prikažejo lažno prijavno stran bančne aplikacije, čeprav uporabnik uporablja legitimno bančno aplikacijo, je pred današnjo predstavitvijo raziskave na hekerski konferenci DefCon povedal Nicholas Percoco, višji podpredsednik in vodja laboratorija SpiderLabs pri podjetju Trustwave.
Trenutno aplikacije, ki želijo komunicirati z uporabnikom med pregledovanjem druge aplikacije, pošljejo opozorilo v vrstico z obvestili na vrhu zaslona. Vendar je v kompletu za razvoj programske opreme za Android na voljo vmesnik za programiranje aplikacij, s katerim lahko določeno aplikacijo potisnete v ospredje, je dejal.
“Android omogoča, da razveljavite standard za pritisk na gumbe za nazaj,” je povedal Sean Schulte, razvijalec protokola SSL (Secure Sockets Layer) pri podjetju Trustwave.
“Zaradi tega lahko aplikacija ukrade fokus in vi ne morete pritisniti gumba nazaj za izhod,” je dejal Percoco in dodal, da so težavo poimenovali ranljivost za krajo fokusa.
Raziskovalci so ustvarili preizkusno orodje, ki je igra, vendar sproži tudi lažne zaslone za storitve Facebook, Amazon, Google Voice in Googlov odjemalec e-pošte. Orodje se namesti kot del koristnega bremena v legitimno aplikacijo in se registrira kot storitev, tako da se po ponovnem zagonu telefona ponovno vzpostavi, je dejal Percoco.
V predstavitvenem posnetku, v katerem uporabnik odpre aplikacijo in prikaže prijavni zaslon za Facebook, je edini znak, da se je zgodilo nekaj nenavadnega, tako hiter pomik zaslona, da ga marsikateri uporabnik ne bi opazil. Ponarejeni zaslon v celoti nadomesti legitimnega, zato uporabnik ne bi mogel ugotoviti, da je karkoli narobe.
S to oblikovno napako lahko razvijalci iger ali aplikacij ustvarijo ciljno usmerjene pojavne oglase, je dejal Percoco. Oglasi so lahko zgolj nadležni, kot je večina pojavnih oken, lahko pa so tudi ciljno usmerjeni, da se oglas prikaže, ko se uporablja konkurenčna aplikacija, je dodal.
“Tako je zdaj mogoč ves svet oglasov, ki se na zaslonu borijo med seboj,” je dejal Percoco, ki je skupaj s Christianom Papathanasioujem lani na konferenci DefCon predstavil rootkit za Android.
Po besedah Schulteja ta funkcija ne bi sprožila nobenih opozoril v dovoljenjih, ki se prikažejo, ko uporabnik prenese aplikacijo, saj gre za legitimno funkcijo aplikacij, ki preverjajo stanje telefona v tako imenovani storitvi dejavnosti.
Percoco je dejal, da so raziskovalci pred nekaj tedni o svojih ugotovitvah govorili z nekom pri Googlu, ki je potrdil, da je težava prisotna, in dejal, da podjetje poskuša ugotoviti, kako jo odpraviti, ne da bi pri tem kršilo funkcionalnost zakonitih aplikacij, ki jo morda uporabljajo.
Ko smo se obrnili na Googlovega predstavnika za komentar, je ta dejal, da bo zadevo preučil.
Posodobitev 8. avgust 2011 ob 15:50 PT Googlov tiskovni predstavnik je podal to izjavo: “Preklapljanje med aplikacijami je zaželena možnost, ki jo uporabljajo številne aplikacije za spodbujanje bogate interakcije med aplikacijami. Na Android Marketu nismo opazili aplikacij, ki bi zlonamerno uporabljale to tehniko, zato bomo odstranili vse aplikacije, ki bi to počele.”
Googlov tiskovni predstavnik je CNET-u kot primer uporabe te funkcije pokazal tudi Visidonovo aplikacijo AppLock. Aplikacija uporablja tehnologijo prepoznavanja obraza in preprečuje nepooblaščen dostop do delov telefona, na primer do aplikacije Gmail. Zakonita uporaba funkcionalnosti, opisane v ranljivosti v tem primeru, bi omogočila, da se vmesnik AppLock za zahtevo gesla premakne čez vmesnik Gmail, ko ga tapnete. Ker aplikacija AppLock kot geslo uporablja vaš obraz, bi se pritrdila, omogočila prepoznavo vašega obraza kot odobrenega gesla in se nato umaknila.
Posodobitev 8. avgust 2011 ob 19:40 PT Percocov odziv na Googlovo izjavo: “Preklapljanje aplikacij ni problem. Resnična težava je možnost drugih aplikacij, da ugotovijo, katera aplikacija je v ospredju, in se nato odločijo, da skočijo pred to aplikacijo, ne da bi jim uporabnik to dovolil. Prav tako ne razumemo, kako bi lahko določili razliko med zlonamerno in zakonito aplikacijo, saj bi bili obe videti skoraj enako, dokler jim uporabnik aplikacije ne bi prijavil kot zlonamerne. Stališče “počakaj, da aplikacijo prijavijo kot slabo, preden jo odstranijo”, je nevarno in se bo verjetno izkazalo za brezplodno, saj bi napadalci lahko objavljali aplikacije veliko hitreje, kot bi jih Google lahko prepoznal in odstranil s tržnice.”
Poročilo je prispeval Seth Rosenblatt iz CNET-a.
Source: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/